Site icon Siber Havadis

Bir SIEM Alarmı Kontrol Kanıtına Nasıl Dönüşür?

SIEM alarmının kontrol kanıtına dönüşüm sürecini gösteren infografik. Görselde soldan sağa doğru sırasıyla Alarm, Analiz, Risk ve Kanıt (Kalkan simgesiyle) aşamaları bir akış şeması şeklinde yer alıyor. Alt kısımda "Bir SIEM Alarmı: Kontrol Kanıtına Nasıl Dönüşür?" başlığı bulunuyor.

Teknik bir uyarının (Alarm), analiz ve risk değerlendirme süreçlerinden geçerek somut bir denetim kanıtına dönüşme yolculuğu.

Siber güvenlik alanında kendimi geliştirirken dikkatimi çeken konulardan biri şu oldu:
SIEM (Security Information and Event Management – Güvenlik Bilgisi ve Olay Yönetimi) üzerinde üretilen alarmlar çoğu zaman sadece teknik bir uyarı olarak ele alınıyor. İnceleniyor, kapatılıyor ve süreç orada bitiyor.

Oysa biraz farklı bir açıdan baktığımızda, bu alarmların çok daha anlamlı bir role sahip olduğunu görüyoruz.
Doğru analiz edildiğinde bir SIEM alarmı, BGYS (Bilgi Güvenliği Yönetim Sistemi) kapsamında kontrol kanıtına dönüşebiliyor.


Senaryo

Aynı kullanıcı hesabı için kısa bir zaman aralığında birden fazla 4625 (failed logon – başarısız giriş) kaydı ve hemen ardından bir 4624 (successful logon – başarılı giriş) event’i (olayı) olduğunu düşünelim.

Bu tarz bir pattern (davranış deseni) gördüğümde aklıma ilk gelen ihtimaller:

SIEM tarafında bu durum genellikle belirli eşik değerlerine (threshold – eşik değeri) göre yazılmış kurallarla yakalanır.
Örneğin: X dakika içinde Y adet başarısız giriş + ardından başarılı giriş.

Alarmın Ötesine Geçmek

Bu noktaya kadar yaklaşım genelde operasyonel kalır:
Alarm oluşur, analiz edilir ve bir incident olarak kapatılır.

Ancak burada kritik bir bakış açısı değişimi gerekiyor.

Bu alarmı yalnızca bir incident olarak değerlendirmek yerine, aynı zamanda:

olarak görmek gerekir.

BGYS Perspektifi

AyBGYS açısından bakıldığında bu tek bir alarm bile önemli çıktılar sunar.

Örneğin bu senaryoda aslında şu kontrollerin aktif olduğu kanıtlanır:

Bu da ISO 27001 kapsamında tanımlanan kontrollerin yalnızca dokümante edilmediğini, aynı zamanda aktif olarak çalıştığını ve izlendiğini gösterir.

Sonuç

SIEM alarmları yalnızca tehdit tespiti için üretilen teknik çıktılar değildir.
Doğru yorumlandıklarında, organizasyonun güvenlik kontrollerinin etkinliğini gösteren somut kanıtlara dönüşürler.

Bu bakış açısı, teknik log’ları operasyonel veriden çıkarıp yönetişim seviyesinde anlamlı hale getirir.

📌 Konunun detaylı teknik analizi, Splunk sorguları ve ISO 27001 eşleştirmesi için yazının tamamına buradan ulaşabilirsiniz:
🔗 Bir SIEM Alarmı Kontrol Kanıtına Nasıl Dönüşür?

Kontrol Kanıtı Nedir?

Kontrol kanıtı, bir güvenlik kontrolünün (örneğin; şifre politikası veya erişim izleme) sadece kağıt üzerinde kalmadığını, gerçek zamanlı olarak çalıştığını ve işlevini yerine getirdiğini denetçilere ispatlayan somut veridir.

Exit mobile version