Bir saldırgan ağınıza sızdığında iz bırakır; SIEM bu izleri binlerce kaydın içinden ayıklayıp "bu normal değil" diye alarm üreten beyindir — onsuz saldırı aylarca fark edilmeden sürebilir.

NEDİR? SIEM (Security Information and Event Management — Güvenlik Bilgi ve Olay Yönetimi), bir kurumdaki sunucu, güvenlik duvarı, uygulama, kimlik sistemi ve ağ cihazlarının ürettiği kayıtları (log) tek bir merkezde toplayan, normalleştiren, ilişkilendiren (korele eden) ve analiz eden güvenlik platformudur. Amaç; dağınık ve devasa kayıt yığınından anlamlı güvenlik olaylarını tespit etmek, alarm üretmek ve olay müdahalesi (incident response) ile uyumluluk (compliance) raporlaması için kanıt sağlamaktır. SIEM iki disiplini birleştirir: SIM (kayıt toplama/saklama/raporlama) ve SEM (gerçek zamanlı izleme/korelasyon/alarm). NASIL ÇALIŞIR? 1) Toplama (Collection): Agent, syslog, API veya log forwarder aracılığıyla farklı kaynaklardan ham kayıtlar merkezi platforma akıtılır. 2) Normalleştirme (Parsing/Normalization): Her kaynağın kendine özgü formatı, ortak alanlara (zaman damgası, kaynak IP, kullanıcı, olay türü) dönüştürülür ki kayıtlar kıyaslanabilsin. 3) Korelasyon (Correlation): Önceden tanımlı kurallar veya davranış temelli modeller, birbirinden bağımsız görünen olayları bir araya getirir. Örneğin "10 başarısız giriş + ardından 1 başarılı giriş + alışılmadık coğrafyadan erişim" tek bir şüpheli zincir olarak işaretlenir. 4) Uyarı ve Önceliklendirme (Alerting): Eşik aşımı veya kural eşleşmesinde alarm üretilir; önem derecesine göre sıralanır. 5) Saklama ve Raporlama (Retention/Reporting): Kayıtlar adli inceleme ve mevzuat için belirli süre saklanır; panolar ve raporlar üretilir. NEDEN ÖNEMLİ / İŞ YERİNDE Modern bir kurumda günde milyonlarca log üretilir; bir analistin bunları elle taraması imkânsızdır. SIEM, bu gürültüyü filtreleyerek SOC (Security Operations Center / Güvenlik Operasyon Merkezi) ekiplerinin gerçek tehditlere odaklanmasını sağlar. Ayrıca KVKK, ISO 27001, PCI DSS gibi düzenlemelerin gerektirdiği "kim, neye, ne zaman erişti" denetim izini (audit trail) merkezi olarak sunar. Bir veri ihlali sonrası soruşturmada, olayın nasıl ilerlediğini gösteren kanıt zinciri büyük ölçüde SIEM kayıtlarından çıkarılır. DİKKAT / İYİ UYGULAMA • Çöp girer, çöp çıkar: Yanlış yapılandırılmış kaynaklar veya eksik log toplama, körlük yaratır — kritik kaynaklar (kimlik sistemi, güvenlik duvarı, DNS, EDR) mutlaka beslenmelidir. • Alarm yorgunluğu (alert fatigue): Çok fazla yanlış pozitif (false positive) analistleri körleştirir; kurallar düzenli olarak ayarlanmalı (tuning) ve önceliklendirilmelidir. • SIEM tek başına yetmez; SOAR (otomatik müdahale) ve tehdit istihbaratı (threat intelligence) ile beslendiğinde gerçek değer üretir. • Saatlerin senkronizasyonu (NTP) şarttır; zaman damgaları kaymışsa korelasyon yanlış sonuç verir.

• SIEM = farklı kaynaklardan logları toplayıp normalleştiren, koreleyen ve alarm üreten merkezi güvenlik platformudur. • Çalışma akışı: toplama → normalleştirme → korelasyon → uyarı → saklama/raporlama. • Asıl gücü, tek başına anlamsız olayları ilişkilendirip gerçek tehdidi (ör. imkânsız seyahat, yatay yayılma) ortaya çıkarmasıdır. • İyi sonuç için kapsamlı log toplama, kural ayarı (tuning) ve senkron saatler şarttır; KVKK/ISO 27001/PCI DSS uyumluluğu için denetim izi sağlar.