Kurumsal Ortamda Kayıt Yönetimi ve Kayıt Takibi

Temel güvenlik prensiplerinin başında kayıt turma (loglama) gelmektedir. Bu yazıda kurum içerisinde kayıt yönetimi ve kayıtların takibi incelenecektir.

Kayıtların etkin bir şekilde kullanılması için kurumda oluşan kayıtların merkezi olarak toplandığı ve kurum BT sistemlerini güvenlik bakış açısı ile izlenmesini sağlayan bir sistemin kurulması gerekmektedir. Bu sistemde yer alması gereken temel bileşenler şunlardır:

  • Merkezi kayıt toplama bileşeni: Kayıtların merkezi olarak tutulduğu, ortak bir formata dönüştürüldüğü, kayıtların sorgulanabildiği ve filtrelenebildiği bileşendir.
  • Kayıt ilişkilendirme ve korelasyon bileşeni: Çok sayıda kaydın filtrelendiği, sistemlerde veya sistemler arası ilişkilendirme yapılarak karmaşık saldırıların tespit edilebildiği bileşendir.
  • Raporlama bileşeni: Periyodik olarak kayıtların raporlandığı, ilgili personelin geçmişe yönelik denetimlerde inceleme yapmasına olanak sağlayan bileşendir.
  • Gerçek zamanlı izleme ve uyarı sistemi: Kayıt ve korelasyon kuralları sonucunda elde edilen olayların gerçek zamanlı olarak izlenebildiği ve uyarı/alarm oluşturulabildiği bileşendir.

Bu bileşenler ile var olan kurum bilgi sistemlerine aşağıda sıralanmış olan imkân ve kabiliyetleri kazandırmak mümkündür:

  • Bilişim altyapısının envanterinin merkezi olarak takip edilebilmesi
  • Kurum güvenliğini risk altına sokacak muhtemel ihlallerin merkezi olarak tespit edilebilmesi
  • Tüm altyapıda tam denetim sağlanarak, yönetimsel sistem aktivitelerine ilişkin raporların alınabilmesi
  • Kurum ağına yetkisiz makinelerin girişi engellenmesi
  • Kurum altyapısında uçtan uca güvenlik sağlayarak kurum açısından stratejik kararların alınması ile tüm altyapının daha modüler hale gelmesi
  • Yasal mevzuatlar yerine getirilmiş olunur.

Sistem operasyonlarının takibi için, Microsoft’un System Center Operations Manager (SCOM) ürünü kullanılabilir. Bunun yanında üçüncü taraf uygulama olarak NAGIOS kullanılabilmektedir.

System Center Operations Manager (SCOM), organizasyondaki sistemleri izleyip problem oluşmadan evvel tespit etmek için kullanılan ve organizasyondaki diğer hizmetlerin kesintiye uğramamasını sağlayan bir üründür. Aktif Dizin kurulu sunucular, posta sunucuları gibi kritik sunucuların SCOM ile izlenmesi gerekmektedir. Bu bilgiler anlık olarak ilgili sistemin yöneticisine posta (mail) veya mesaj (SMS) yolu ile bildirilebilir. SCOM ile sistemlerde temel olarak aşağıdakiler izlenebilmektedir:

  • Sistemlerdeki donanımlar takip edilebilir. CPU ve RAM takibi performans, HDD ve ağ kartı takibi ile veri kaybının önüne geçilir.
  • Sistemlerde çalışan servisler takip edilebilir. Etki alanı denetleyicisi için Aktif Dizin servisi, veritabanı sunucusu için SQL servisleri, web sunucuları için IIS, posta sunucuları için Information Store izlenebilecek bazı hizmetlerdendir.
  • Sistemlere ait Event Loglar izlenebilir. Belirtilen kıstaslara uyan bir olay gerçekleştiğinde ilgili yöneticiye bildirimde bulunulması sağlanabilir.
  • SNMP ile ağ cihazları izlenebilir. Router, switch gibi ağ cihazlarının durumları takip edilir.

Organizasyonda SCOM kullanılması bir takım avantajlar sağlar. Bu avantajlar aşağıdaki gibidir:

  • Organizasyondaki sistemlerde çalışan hizmetlerin sürekliliği ve takibi merkezi olarak sağlanmış olmaktadır. Böylece erişilebilirlik (availability) arttırılmış olunur.
  • Uçtan uca bir yönetim sağlanmaktadır.
  • Organizasyondaki dağıtık sistem yapısını tek bir sistem gibi sunabilmektedir. Yani birbiri ile tümleşik çalışan hizmetleri tek bir yapıda sunabilmektedir. Böylece herhangi bir problem anında problemin gerçek kaynağı kolaylıkla tespit edilebilmektedir. Örneğin, posta sunucusunun düzgün olarak çalışmamasının asıl sebebi DNS sunucusundaki bir problem olduğu anlaşılabilmektedir.
  • Belirlenen kıstaslara göre, izlenen sistemlerdeki yazılımlara ve donanımlarına ait rapor ve kayıtlar (log) tek bir merkezde toplanmaktadır.
  • Üçüncü taraf uygulamalarla uyumlu olarak çalışabilmektedir.
  • Küçük, orta ve büyük ölçekli yapılarda kullanılabilmektedir.
  • SCOM kuralları Aktif Dizin ile GPO olarak basılabilmektedir.
  • İstemcilerdeki işletim sistemi güncelleştirmeleri tespit edilebilmektedir.

Bunların yanında, SCOM kullanımında bir takım noktalara dikkat edilmesi gerekmektedir. Dikkat edilmesi gereken başlıca noktalar aşağıdaki gibidir:

  • Bildirim yapılan sunuculara (Posta sunucusu veya SMS sunucusu) için birden fazla seçenek belirtilmesi tavsiye edilmektedir.
  • Güvenilir olmayan ortamlar ile olan iletişim için Gateway Server kullanılması tavsiye edilmektedir.
  • Güvenilir ortamdaki sistemlerin SCOM ile iletişim için Kerberos ile kullanılırken, güvenilir olmayan veya etki alanında olmayan sistemlerin iletişimi için sertifikaların kullanılması önerilmektedir.

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.