Log Yönetimi SIEM

Soru&Cevaplarla 5651 Sayılı Kanun

Yazar by onuroktay

5651 – Amaç ve Kapsamı;

İçerik Sağlayıcılar, Yer Sağlayıcılar, Erişim Sağlayıcılar ve Toplu şekilde Bilgisayar kullanımı olan, Internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadele etmeyi baz yasa ve usülleri içeren bir kanundur. Resmi tanımı tabii ki bu şekilde 5651’in.

5651 ve Log Yönetimi ilişkisi

Bizim olayımız SIEM projesi olduğundan, biz erişim sağlayıcılar ve ya yer sağlayıcılardan ziyade LOG tarafını baz alacağız. 5651 kanunu için Log tarafında arama motorlarında ufak bir Search yaparsanız, her kafadan bir ses çıktığını ve değişen tanımların olduğunu görürsünüz. Ben genel olarak kendi tecrübelerimi, bugüne kadar çalıştığım firmaları (kamu/özel) ve genel olarak sektörün kabul ettiği, adli vakalarda da istenen bilgileri baz alarak 5651 sayılı kanunu Log Yönetimi tarafında nasıl kullanıldığına dair hızlı şekilde Soru / Cevap yapmayı uygun gördüm.

Soru & Cevaplarla 5651

Soru: 5651 Sayılı kanuna uygun şekilde LOG tutabilmek için Firewall gerekli mi?

Cevap: Firewall olmasa da Firewall gibi görev yapan Switch, Router ya da kullanıcıların Internete çıkmasını sağlayan cihazın logunun tutuluyor olması kesinlikle şart.

Soru: 5651 Sayılı kanuna göre kaç güne kadar LOG tutmak zorun dayım?

Cevap: 730 güne kadar logları tutup, imzalayıp, saklamak zorundasınız.

Soru: 5651 için Logu nerede saklamalıyım?

Cevap: Logu nerede saklamaktan ziyade Log’un bütünlüğünün yani Ham halinin bozulmaması gerekiyor. Ham halinin bozulup bozulmadığını adli bilişim yazılımları ile test edebiliyorlar ve yasal bir konu oluştuğunda başınız derde girebilir. Dolayısıyla nerede sakladığımız önemli değil, istendiği zaman, istendiği tarihin logunu bozulmadan verebiliyor olmak önemlidir.

Soru: Web Sitemi kendim barındırıyorum log tutmak zorunda mıyım ?

Cevap: Evet. Web Server’ınıza gelen giden tüm trafiği loglamak zorundasınız.

Soru: Mail Serverım var (Exchange, Zimbra, vb) Log tutmak zorunda mıyım?

Cevap: Evet. Gelen giden tüm mail trafiğiniz loglamak zorundasınız. Net.

Soru: IP-MAC-UserName Hangi bilgileri tutmalıyım yasaya uygun?

Cevap: Hangi User’in hangi ip adresini aldığını, hangi mac adresini kullandığını, hangi hostname’i kullandığını kesinlikle tutmalısınız. Bir IP adresinin birden fazla kişi tarafından kullanıp kullanılmadığını ve yine aynı şekilde bir MAC adresinin birden fazla IP adresi tarafından kullanıp kullanılmadığını da tutmalısınız ve tespit etmelisiniz. Bu ve benzeri Senaryolar zaten Sisteminizin Güvenliği açısından önemli trickler olduğundan bunları zaten kullanıyor olduğunuz SIEM ürünü otomatik olarak yapıp, bu senaryolar oluştuğunda Size Mail atarak Alert göndererek uyarmak durumundadır.

Soru: Dhcp Server’ımın Logunu tutmak zorunda mıyım?

Cevap: Evet. Çok net. Dhcp serverler veya Dhcp Server işlevi gören diğer cihazlar (firewall vs) loglarını kesinlikle tutmalısınız.

Soru: Domain Controller (active directory) loglarıı tutmak zorunda mıyım?

Cevap: Evet. Domain kullanıcılarının network içerisindeki Login/logout ve işlemlerini loglamak zorundasınız.

Soru: FTP Server’ım var ve Internete açık şekilde tutuyorum, kendi Cloud Server’ım gibi kullanıyorum, Logunu tutmak zorundamıyım?

Cevap: Evet.

Soru: Kullanıcılarımın Google Arama Kayıtlarını tutmak zorunda mıyım?

Cevap: Google arama kayıtlarını zaten tutamazsınız. Piyasada var olan gelişmiş firewall’ler bile google arama sonuçlarını google’ın kullandığı SSL sertifikası yüzünden net olarak loglayamamaktadır. Ancak kullanıcılarınızın Google servislerine yaptığı trafiği loglayabilirsiniz ve loglamalısınız.

Soru: Wifi ağımdan misafirlerimi internete çıkarıyorum, Log tutmak zorunda mıyım?

Cevap: Kesinlikle Evet. Türkiye’de hemen hemen her Wifi alanında olan eksikliklerden birisi de budur aslında. TC kimlik, isim soyisim gibi bilgileri aldıktan sonra internete çıkartmalısınız ve logunu kesinlikle tutmalısınız.

Soru: İş yerim var ve kullanıcılarım internete çıkıp Web sitelerin içerik giriyor, log tutmak zorunda mıyım?

Cevap: Evet.

gibi gibi aklıma bir çırpıda gelen soruları sizler için cevapladım.

5651 konusu bu şekilde uzayıp gidiyor. Ülkemizde son yıllarda umut verici şekilde 5651 yasasına uygun log tutuluyor. (eskiye nazaran yani) Ancak yine de Belediyeler seviyesinde kamu kurumlarının ve özel sektörde bir çok firmanın Log tutmadığını da ne yazık ki ülkemizin gerçeği.

Hakkında

onuroktay

Leave a Comment