“Müasir dövrdə informasiya təhlükəsizliyi təşkilatlar üçün ən prioritet sahələrdən birinə çevrilmişdir. Hər gün minlərlə təhlükə şəbəkələr və sistemlər üzərindən təşkilatların məlumatlarına yönəlir. Bu təhdidlərin qarşısını vaxtında almaq və müvafiq cavab tədbirləri görmək üçün SIEM (Security Information and Event Management) sistemləri geniş şəkildə istifadə olunur. Lakin SIEM sisteminin effektivliyi onun qəbul etdiyi logların keyfiyyəti və əhatəliliyindən asılıdır. Bu səbəblə, SIEM-ə hansı logların göndərilməsinin vacib olduğunu bilmək təhlükəsizlik strategiyasının ayrılmaz hissəsidir.”
Əməliyyat Sistemlərinin Logları
Windows və Linux əməliyyat sistemləri ən əsas log mənbələrindəndir. SIEM-ə bu sistemlərdən aşağıdakı məlumatlar ötürülməlidir: uğurlu və uğursuz istifadəçi girişləri, sistemin açılıb bağlanması, səlahiyyətli əmrlərin icrası, istifadəçi və qrup dəyişiklikləri, və təhlükəsizlik siyasəti dəyişiklikləri. Bu loglar istifadəçi fəaliyyətlərinin və mümkün insidentlərin izlənməsi üçün əhəmiyyətlidir.
Firewall və Şəbəkə avadanlıqları
Firewall logları təhlükəli şəbəkə fəaliyyətlərini (məsələn, bloklanan bağlantılar, port scan cəhdləri) SIEM sisteminə ötürür. Router və switch logları isə şəbəkənin fiziki vəziyyəti, interfeys statusları və konfiqurasiya dəyişiklikləri haqqında məlumat verir. Bu loglar vasitəsilə şəbəkə səviyyəsində baş verən insidentlər izlənə və təhlil oluna bilər.
Antivirus, EDR və XDR Logları
Endpoint təhlükəsizlik həlləri (antivirus, EDR və ya XDR) cihazlarda baş verən təhlükəli fəaliyyətləri aşkar edir. SIEM-ə zərərli proqramların aşkarlanması, faylların karantinə alınması, istifadəçinin şübhəli davranışları və şəbəkə ilə əlaqəsi barədə logların göndərilməsi vacibdir.
Active Directory və İstifadəçi İdarəetməsi
İstifadəçi və qrup idarəetməsi ilə bağlı loglar da SIEM üçün önəmlidir. Active Directory üzərindən hesab kilidlənməsi, uğursuz giriş cəhdləri, yeni istifadəçi yaradılması və qrup dəyişiklikləri kimi hadisələr mütləq şəkildə qeyd olunmalıdır. Bu loglar daxili təhdidlərin izlənməsi və audit üçün əvəzsizdir.
Veb və Appilcation Serverləri
Apache, Nginx və ya IIS kimi veb serverlərdən toplanan loglar SIEM üçün tətbiq səviyyəli məlumat təmin edir. HTTP status kodları, tətbiq səhvləri (404, 500 və s.), SQL injection və XSS cəhdləri bu loglar vasitəsilə təhlil oluna bilər. Eyni zamanda xüsusi biznes tətbiqlərindən gələn qeydlər də SIEM-ə inteqrasiya edilməlidir.
Mail Server və Cloud Xidmətləri
Email təhlükəsizlik insidentlərinin əsas mənbələrindən biridir. Mail server logları (SMTP, IMAP, POP3) vasitəsilə spam, phishing və daxili məlumat sızması cəhdləri aşkarlanır. Bulud platformaları (Microsoft 365, Google Workspace) da SIEM ilə inteqrasiya olunmalı və istifadəçi fəaliyyəti yaxından izlənilməlidir.
Təşkilatın SIEM sistemindən tam səmərə əldə etməsi üçün yuxarıda sadalanan bütün log növlərinin toplanması və düzgün şəkildə yönləndirilməsi vacibdir. Sadəcə sistem və firewall logları kifayət deyil – bütün təbəqələrdə məlumatların toplanması real təhlükələrin aşkarlanması üçün əsas şərtdir. Güclü bir log toplama strategiyası olmadan SIEM sistemi yalnız səthi məlumatlar təqdim edə bilər.
