Son yıllarda gündemimizde daha fazla yer almaya başlayan konulardan birisi de Audit Logları’nın takip edilmesidir. Denetim, performans izleme vb amaçlar ile takip edilen Audit Loglar, her geçen gün BT Süreçleri’ne biraz daha dahil olarak hayatımıza girmektedir.

Log Yönetimi ile sistemlerin, uygulamaların, kullanıcı işlemlerinin ve bilgi sistem ağındaki veri akışının iz kayıtları tutulur. Bu iz kayıtları ile işlemi gerçekleştiren kişi belirlenebilir (accountability), yetkisiz erişimler belirlenebilir (unauthorized) , anormal işlemler belirlenebilir (abnormal) ve iz kayıtları kullanılarak performansa (sistemlerdeki olası sorunlar iz kayıtları ile önceden belirlenebilir) dair izleme yapılabilir.

Audit Log Projeleri’nde dikkat edilmesi gereken en önemli konu, “Neyin, hangi detayda loglanıp kimler tarafından gözden geçirileceğidir.” Audit Log Projeleri’ni amacı logları sadece depolamak değil; mevcut durumun analizi ve geleceğe dair projeksiyonlar yapmak için kullanılmak olmalıdır.

Birçok Audit Log Projesi’ndeki en büyük yanılgı, alınan ürünün hem Veritabanları (Oracle, MS SQL, Mysql, DB2 vb) hem de diğer sistemler için (Microsoft, Unix, Linux, Firewall, Router, Switch, SSL Vpn, Proxy vb) birlikte kullanılmaya çalışılmasıdır. Bu şekilde ürünün hem ölçeklenebilmesi, yönetilmesi ve etkinliği yeni sorunlara neden olmaktadır. En iyi uygulama, bu iki sistemin kendilerine en uygun ürünler ile ayrı ayrı loglanmasıdır.

Yasal Mevzuat ve Standartlar, kurumları Log Yönetimi Sistemi kurmaya zorlamaktadır. Bu amaçla yapılan denetimlerde Log Yönetimi Sistemleri çok önemli konu başlıklarından biri olarak yerini almaktadır. Denetim bulguları, kurumların birçok yasal yaptırıma maruz bırakmaktadır. Örneğin, denetim karnesi çok kötü olan bir bankanın yeni şube açmasına, sermaye arttırmasına izin verilmez. Başka iş kolları için örneklerimizi çeşitlendirebiliriz.

Denetim açısından bakıldığında; “Ayrıcalıklı Kullanıcı Hesapları (DBA, Domain Admin, Root vb)” ile gerçekleştirilen işlemlerin ve “Kritik Veriler”e (finansal vb ) yapılan her tür erişimin  izlenebilmesi, bu iz kayıtlarının değiştirilmediğinden emin olunması ve bu iz kayıtlarının düzenli olarak gözden geçirilmesi gerekmektedir.

Etkin bir Sistem Log Yönetimi için, kurum ihtiyaçlarını en doğru şekilde belirleyerek en uygun ürünü BT Altyapımız’a kazandırmamız gerekmektedir. Bunun için genel hatlarıyla Veritabanı Dışındaki Sistemlerin Audit Logları’nı takip etmek için aşağıdaki özelliklerin alınması düşünülen üründe olması gerekmektedir:

1. İz kayıtlarının bütünlüğünden emin olması amacıyla ihtiyaç duyulan “hashleme” özelliği bulunmalıdır.

2. İz kayıtlarının gizliliğinin sağlanabilmesi için gerekli kayıtları şifreli tutma özelliği bulunmalıdır.

3. Yönetim arayüzünde log toplayıcılar listelenecek, çalışma durumları izlenebilecektir. Log kaybı olup olmadığını anlık olarak izlenebilmelidir.

4. Daha sonradan dahil olacak sistemleri de desteklemelidir. Ürünün kuruma entegre edilmesi noktasında desteklenmeyen bir ürün/cihaz var ise bundan gelecek olaylar için Custom Collector yazılabilmelidir.

5. Ürün, SMTP server üzerinden uyarı e-postaları gönderebilmelidir.

6. Yazılacak kurallarla ilgili anlık uyarı mailleri gönderilebilmelidir.

7. Uyum (PCI, SOX, vb) ve rapor şablonları olmalıdır.

8. Ürün ajanlı ve ajansız log toplama özelliğine sahip olmalıdır.

9. Ajanlar ile çözüm arasında yapılacak iletişim şifreli olmalıdır. Gerekli durumlarda ajanlardan merkeze doğru veri aktarımı için ne kadar maksimum bant genişliği kullanılacağı ve iletimin ne zamanlar yapılacağı tanımlanabilmelidir.

10. Çözüm genişlemeye uygun mimaride olmalıdır. Log kaynakları çoğaldıkça veya saniyede toplanan mesaj sayısı arttığı taktirde yedekli ve güç dengeleyici mimariyi desteklemelidir.

11. Çözüm özellikle fiziksel olarak farklı lokasyonlarda bulunan sistemlerden mesajları toplayabilecek dağıtık mimariyi desteklemelidir.

12. Toplanan verilerin çözüm dışında uzun süre saklanabilmesini kolaylaştırmak amacıyla ürün arşiv tutabilmelidir. DAS, NAS veya SAN ortamları bu arşiv işlemi için desteklenmelidir.

13. Ürün gerçek zamanlı görüntüleme ara yüzü, yönetim ara yüzü ve raporlama ara yüzü sunabilmelidir.

14. Olaylar ile ilgili log toplama, ilişkilendirme, normalleştirme ve sınıflandırma işlemlerini yapabilmelidir.

15. Olay tipleri hızlıca ortak değerlere göre sınıflandırılabilmli tamamen farklı kaynaklardan gelen bilgilerde ilişkilendirme yapılabilmelidir. (Örn: Farklı üreticilerin saldırı tespit sistemlerinden ve güvenlik duvarlarından gelecek olan port taraması, tek bir port taraması olarak değerlendirip, sınıflandırılacaktır.)

16. Gerçekleşen olaylar her seviyedeki kullanıcı tarafından kolay anlaşılabilmesi için görselleştirilerek gösterebilmelidir.

17. Ürün, sıkıştırma teknolojilerini kullanarak kayıtların daha verimli tutulmasını sağlayabilmlidir.

18. Toplanan loglar zamana göre hiyerarşik olarak sınıflandıran bir yapı içerisinde tutulabilmelidir. 

19. Sistemlerden toplanan loglar, herbir sistem için değişen sürelerde saklanması ihtiyacı nedeniyle  farklı saklama alanlarına yönlendirebilmelidir. Her bir saklama alanı için farklı ayarlar yapılabilmelidir.  

20. Teklif edilen sistem üzerinde hazır ilişkilendirme (korelasyon) kuralları bulunmalıdır.

21. Teklif edilen sistem üzerinde güvenlik analistleri tarafından ilişkilendirme (korelasyon) kuralları yazılabilmelidir.

22. Yönetim arayüzünü kullanacak kişiler yetkilendirilen kullanıcılar olacaktır.

23. Ürünün görsel rapor tasarlama aracı olmalıdır.

24. Ürünün yönetim arayüzünde grafiksel gösterge tabloları (dashboard) bulunmalıdır.

25. Üretilen raporlar üzerinde filtreleme yapılabilmelidir.

26. Raporlar istenilen zamanlarda programlı olarak üretilebilmeli ve istenilen kişilere e-posta ile gönderilebilmelidir.

27. Rapor çıktıları XML, HTML, CSV, PDF dosya formatlarını desteklemelidir.

28. Ürünün kurulumunda görev alacak ekip konusunda uzman ve tecrubeli olmalıdır.

29. Teklifte Türkiye’de özellikle finans sektöründeki referanslar sunulmalıdır.

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.