Siem ve Splunk Nedir ? && Splunk Kurulumu?
Herkese Merhaba bu yazımda sizlere siem nedir ve en çok kullanılan open source(açık kaynak) siem ürünlerinden biri olan splunk nedir ve nasıl kurulum yapılır dan bahsedeceğim. Hazırsanız başlıyalım.
SIEM (Security Information and Event Management), Türkçe ye çevrilmiş hali ile Güvenlik Bilgileri ve Olay Yönetimi, SIM (security information management)(güvenlik bilgi yönetimi) ve SEM (security event management)(güvenlik olay yönetimi) işlevlerini tek bir güvenlik yönetim sisteminde birleştiren bir güvenlik yönetim sistemidir.
- Güvenlik Bilgi Yönetimi (SIM), geleneksel günlük toplama ve yönetim sistemlerinin üzerine inşa edilmiş ilk nesildir. SIM, günlük verileri ve tehdit istihbaratı ile birleştirilmiş günlükler üzerinde uzun süreli depolama, analiz ve raporlamayı tanıttı.
- Güvenlik Olay Yönetimi (SEM) güvenlik olaylarını ele alarak inşa edilmiş ikinci nesildir. Antivirüs , güvenlik duvarları ve İzinsiz Giriş Algılama Sistemleri (IDS) gibi güvenlik sistemlerinden gelen olayların yanı sıra doğrudan kimlik doğrulama, SNMP tuzakları, sunucular, veritabanları vb. sistemlerde kullanılır.
Splunk Nedir ?
Splunk, birçok farklı kaynaktan gelen bilgileri gerçek zamanlı olarak analiz edip, key-value şeklinde indeksleyen ve daha sonra içerisinde arama yapmaya, dashboardlar, uyarılar ve raporlar oluşturmaya yarayan uygulamadır.
Önde gelen log yönetim sistemlerinden biri olan Splunk; macOS, Linux ve Windows’u kapsayan piyasa da oldukça bilinen yardımcı programlardan biridir. Splunk yazılımının ücretsiz versiyonu günlük 500 MB ile sınırlıdır.
Diğer önemli olan terim ise Log’dur.
Log, kurum veya kuruluşların içinde kullanılan her cihazın eylemlerini depolayan bir sistemdir. Log kaydı sayesinde SIEM üzerinden kaydedilen verilerin analizini yapma ve korelasyonunu sağlama olanağına sahip olabilir böylelikle güvenlik önlemlerinizi ileri seviyeye taşıyabilirsiniz. Log sistemi yalnızca verileri depolamaktadır fakat SIEM kaydedilen logları analiz etmekte ve raporlayarak olası riskleri ortaya koymaktadır. Bu sebeple log ve SIEM kurum ve şirket güvenliği söz konusu olduğunda birlikte faaliyet gösteren ve destekleyen iki farklı sistemdir. Örnek log kaynakları ise , firewall, ips , Access Control list,Waf, Router, switches vb .
Şimdi de Splunk kurulumuna geçelim
İlk öncelikle splunk bir işletim sistemi üzerine kurulması gerekiyor. İsterseniz Linux , MacOs yada Windows üzerine kurabilirsiniz ama Linux daha çok tercih ediliyor bizde Linux işletim sistemi üzerine bir kurulum gerçekleştireceğiz. Dilerseniz buradan splunk’ı indirebilirsiniz.
Splunk indirdikten sonra CentOs işletim sistemi üzerinden kurulumu yapacağımız için ve CentOs hafif bir işletim sistemi olduğu için bunu tercih ettim. Sizde Minimal olarak CentOs buradan indirebilirsiniz.
Vmware üzerinden indirdiğiniz CentOs imajını seçerek ayağa kaldırabilirsiniz. Standart bir Linux kurulumu olarak ilerlemektedir . Daha sonra indirdiğimiz Splunk dosyasını CentOs makinamızın içine taşıyoruz.
Splunk dosyamızı “rpm -i <Splunk dosya adı>” yazarak kurulu başlatmış olursunuz. Daha sonra <cd /opt/splunk/bin> Klasörüne giderek splunk kurulumunu için devam etmemiz gerek. Klasörün de iken ./splunk start diyerek kuruluma devam edebilirsiniz.
Kurulum devam ederken karşımıza Lisans sözleşmesi çıkıyor ve yes (y) diyerek devam ediyoruz ve daha sonra Username (kullanıcı adı) ve Password (parola) belirlememizi bekliyor. Bu kullanıcı adı ve parolayı arayüze erişim sağlarken yazacağımız bilgilerdir.
Burada ise kurulumun bittiğini görmekteyiz. Bize makina’nın ip adresi ile ve varsayılan olarak gelen portu ile giriş yapabileceğimiz gösterilmektedir. Örnek olarak <http://192.168.1.20:8000> buradaki ip adresi CentOs makinasına aittir. Yapmamız gereken bir diğer ayar ise CentOs işletim sisteminin firewall ayarlarını kapatmalıyız aksi taktirde tarayıcıdan arayüze erişim yapmamızı kısıtlayacaktır.
İp adresinizi tarayıcınıza yazarak portunu da belirttikten sonra gelen arayüz de kurulum esnasında belirlediğimiz kullanıcı adı ve parolayı girerek Splunk arayüze erişim elde edebiliriz.
Umarım faydalı olmuştur. Bir sonraki yazımda görüşmek dileğiyle Sağlıcakla kalın.
