Siber Güvenlikte Logun Önemi
Siber güvenlik, dijital varlıkların korunmasında temel bir disiplindir.
Bu disiplinin en önemli yapı taşlarından biri de log (kayıt) verileridir.
Loglar, sistemler üzerinde gerçekleşen tüm olayları kayıt altına alarak, tehdit tespiti, olay müdahalesi, adli bilişim analizleri ve uyumluluk süreçleri için kritik bilgiler sunar.
1. Log Nedir?
Log, bir sistemde gerçekleşen olayların tarih ve zaman damgasıyla birlikte kayıt altına alınmış halidir. Bu kayıtlar; kimlerin giriş yaptığı, hangi işlemlerin yapıldığı, hataların ne zaman oluştuğu gibi bilgileri içerir.
Tablo 1: Yaygın Log Türleri
| Log Türü | Açıklama | Örnek Kayıt |
|---|
| Sistem Logları | İşletim sistemi olaylarını içerir | Event ID 4624: Logon |
| Uygulama Logları | Yazılımlar tarafından oluşturulur | Apache error.log |
| Güvenlik Logları | Güvenlik olaylarını gösterir | Firewall blocked IP |
| Ağ Logları | Trafik ve bağlantılarla ilgili bilgileri içerir | 192.168.1.10:443 > |
| Kimlik Doğrulama | Giriş-çıkış işlemlerini içerir | Failed SSH login |
2. Logların Siber Güvenlikteki Rolü
Log verileri, birçok güvenlik senaryosunda kullanılır:
Tablo 2: Log Kullanım Alanları ve Amaçları
| Kullanım Alanı | Açıklama | Örnek Araçlar |
|---|
| Tehdit Tespiti | Anormal aktivitelerin belirlenmesi | SIEM (Splunk, ELK, QRadar) |
| Olay Müdahalesi | Saldırı anında hızlı müdahale ve log analizleri | Syslog, Logstash |
| Adli Bilişim | Olay sonrası delil toplama ve saldırganın takibi | FTK, Autopsy, Log Parser Tools |
| Uyumluluk ve Denetim | KVKK, ISO 27001, GDPR gibi regülasyonlara uyumluluk | Auditd, OSSEC |
| Davranışsal Analiz | Kullanıcı ya da sistem davranışlarının izlenmesi | UEBA, Wazuh |
3. Etkili Log Yönetimi İçin Gereksinimler
Etkin bir log yönetimi için aşağıdaki unsurların sağlanması gerekir:
Tablo 3: Log Yönetimi Gereksinimleri
| Gereksinim | Açıklama |
|---|
| Zaman Senkronizasyonu | Tüm cihazların saatlerinin eşit olması (NTP kullanımı) |
| Merkezi Log Toplama | Logların tek noktada toplanarak analiz edilmesi |
| Log Saklama Politikası | Logların belirli süreyle güvenli şekilde saklanması |
| Erişim Kontrolleri | Loglara sadece yetkili kişilerin erişebilmesi |
| Log İmzalama | Logların değiştirilmediğinin kanıtlanması (hash, HMAC) |
4. SIEM Sistemleri ve Log Analizi
Security Information and Event Management (SIEM) sistemleri, logları toplayarak analiz eder ve anlamlı çıktılar üretir. Bu sayede siber tehditler tespit edilir, otomasyon sağlanır.
Tablo 4: Popüler SIEM Araçları
| Araç | Açıklama | Açık Kaynak mı? |
|---|
| Splunk | Güçlü arama ve analiz motoru | Hayır |
| ELK Stack | Elasticsearch, Logstash, Kibana üçlüsü | Evet |
| IBM QRadar | Kurumsal düzeyde SIEM çözümü | Hayır |
| Wazuh | Host tabanlı güvenlik izleme çözümü | Evet |
5. Gerçek Hayattan Örnek Senaryo
Senaryo: Bir çalışanın hesabı ele geçiriliyor ve gece yarısı hassas veriler dışa aktarılıyor.
Loglar sayesinde:
- Hangi IP’den giriş yapıldığı,
- Hangi dosyaların indirildiği,
- Hangi saatlerde işlem yapıldığı,
- Yetkisiz girişlerin kaydı
...gibi bilgiler elde edilerek, müdahale ve adli analiz yapılabiliyor.
