Hər gün dünya üzrə 2,200-dən çox kiber hücum baş verir. Bu, təxminən hər 39 saniyədə bir hücum deməkdir. Bəs şirkətlər, banklar, xəstəxanalar özlərini necə qoruyur? Cavab bir sözdə gizlənir: SIEM. Bu yazıda bu texnologiyanı sıfırdan başlayaraq dərinlemesine öyrənəcəksən.

 SIEM nədir? Sadə izah ilə başlayaq

Məktəbinin böyük bir güzgü otağı olduğunu təsəvvür et. Bu otaqda yüzlərlə kamera var — dəhlizlər, siniflər, həyət... Bir nəfər bütün ekranlara baxır, nəsə qəribə bir şey görəndə isə dərhal zəng çalır.

SIEM (Security Information and Event Management) məhz bununla eynidir — amma məktəb üçün yox, kompüter şəbəkələri üçün. Minlərlə cihazı eyni anda izləyir, şübhəli hərəkəti saniyələr içində aşkar edir.

Tam adını parçalayaq:

Security → Təhlükəsizlik

Information → Məlumat

Event → Hadisə

Management → İdarəetmə

 SIEM-in Tarixi — Haradan Başladı?

SIEM texnologiyası birdən-birə yaranmadı. Onun arxasında onilliklər boyu inkişaf var.

1990-cı illər — İlk addımlar. İnternet geniş yayılmağa başladıqca şirkətlər ilk dəfə "kim şəbəkəmizə girir?" sualını verdi. İlk log idarəetmə sistemləri yarandı — sadə, yavaş, amma başlanğıc üçün yetərli idi.

2000-ci illər — SIM və SEM ayrılığı. İki ayrı texnologiya paralel inkişaf etdi. SIM (Security Information Management) məlumatları toplayıb saxlayırdı. SEM (Security Event Management) isə real vaxt rejimində hadisələri izləyirdi. Hər ikisi yaxşı idi, amma tam deyildi.

2005-ci il — Birləşmə. Gartner analitik şirkəti bu iki texnologiyanı birləşdirib SIEM adını verdi. Bu, kibertəhlükəsizlik tarixinin dönüm nöqtəsi oldu.

2010-cu illər — Böyük sıçrayış. Bulud texnologiyaları, böyük məlumat (Big Data) və maşın öyrənməsi SIEM-i tamamilə dəyişdirdi. Artıq sistemlər daha sürətli, daha ağıllı, daha ucuz oldu.

2020-ci illər — AI dövrü. Süni intellekt SIEM-ə inteqrasiya edildi. İndi sistemlər yalnız qaydaları izləmir — öz-özünə öyrənir və yeni hücum növlərini tanımağı öyrənir.

SIEM necə işləyir? — 4 əsas addım

1. Məlumat Toplamaq (Log Collection)

Şəbəkədəki hər cihaz — kompüterlər, routerlər, serverlər, hətta printerlər — nə etdiklərini avtomatik qeyd edir. Bu qeydlərə log deyilir. SIEM bütün bu logları hər yerdən toplayır. Böyük şirkətlərdə gündə 100 milyard-dan çox log qeydi toplanır. SIEM bunları saniyənin fraksiyasında işləyir.

2. Normallaşdırma (Normalization)

Fərqli cihazlar fərqli formatlarda log yazır. Windows kompüteri bir cür, Linux server başqa cür, router isə tamam fərqli cür yazır. SIEM bu fərqli formatları eyni dilə çevirir ki, müqayisə etmək mümkün olsun. Bu prosesə normallaşdırma deyilir.

3. Analiz Etmək (Correlation)

SIEM toplanmış məlumatları bir-biri ilə müqayisə edir. Məsələn: "Bu istifadəçi 50 dəfə yanlış parol daxil etdi" — bu şübhəlidir. Yaxud: "Gecə saat 3-də kimsə gizli fayllara baxmağa çalışır" — bu da şübhəlidir. SIEM öncədən yazılmış qaydalar (rules) əsasında bu nümunələri tanıyır.

4. Xəbərdarlıq (Alerting)

Hücum aşkar edilən kimi SIEM təhlükəsizlik mütəxəssisini dərhal xəbərdar edir. Bəzi sistemlər avtomatik olaraq təhlükəli IP ünvanını bloklayır, heç bir insan müdaxiləsi olmadan.

5. Hesabat Vermək (Reporting)

Hər şey qeyd olunur. Kim hücum etdi? Haradan? Nə vaxt? Hansı fayllara toxundu? Bu hesabatlar həm müdafiə üçün, həm də hüquqi sübut kimi istifadə edilir.

 Real SIEM logu necə görünür?

Təhlükəsizlik mütəxəssisləri hər gün belə məlumatlarla işləyir:

Nə baş verdi? Naməlum bir IP ünvanı qısa müddət ərzində dəfələrlə yanlış parol daxil etdi. Bu Brute Force hücumu adlanır. SIEM bunu 3 saniyə içində aşkar etdi, IP-ni blokladı və hadisəni qeyd etdi.

 SIEM-in əsas komponentləri

SIEM bir proqramdan ibarət deyil. O, bir neçə güclü hissənin birləşməsindən ibarətdir:

Log Collector (Log Toplayıcı). Şəbəkədəki bütün cihazlardan məlumat toplayan "agent"lər. Bunlar arxa planda dayanmadan işləyir, heç bir cihazı yavaşlatmır.

Event Correlation Engine (Hadisə Əlaqələndirmə Mühərriki). SIEM-in "beyni" budur. Minlərlə logu bir-biri ilə müqayisə edib mənalı nəticə çıxarır. Məsələn, tək bir yanlış giriş şübhəli deyil — amma 100 yanlış giriş 10 saniyə ərzində çox şübhəlidir.

Dashboard (İdarəetmə Paneli). Təhlükəsizlik analitikləri üçün vizual ekran. Rəng kodları, qrafiklər, xəritələr — canlı olaraq şəbəkənin vəziyyətini göstərir. Yaşıl — hər şey qaydasındadır. Sarı — diqqət tələb olunur. Qırmızı — aktiv hücum!

Alert Manager (Xəbərdarlıq İdarəçisi). Analitiklərə bildiriş göndərən sistem. E-poçt, SMS, Slack mesajı — istənilən kanaldan bildiriş göndərə bilir.

Forensic Analysis (Məhkəmə Analizi). Hücumdan sonra nə baş verdiyini araşdırmaq üçün istifadə olunur. Sanki bir cinayət yerini araşdırmaq kimidir — amma rəqəmsal dünyada

 SIEM hansı hücumları aşkar edir?

Brute Force Hücumu

Bir hakerin minlərlə parol kombinasiyasını sınaqdan keçirməsidir. SIEM bunu qısa müddətdə çoxlu yanlış giriş cəhdi kimi tanıyır.

Insider Threat (Daxili Təhlükə)

Bəzən təhlükə xaricdən deyil, içəridən gəlir. Bir işçi səlahiyyəti olmayan fayllara baxmağa çalışırsa, SIEM bunu aşkar edir. Bu, ən çətin aşkar edilən hücum növlərindən biridir.

DDoS Hücumu

Distributed Denial of Service — serverə eyni anda minlərlə saxta sorğu göndərilir ki, server "boğulsun" və işləməyi dayandırsın. SIEM anormal trafik artımını dərhal görür.

Ransomware (Fidyə Proqramı)

Kompüterindəki faylları şifrələyib fidyə tələb edən zərərli proqram. SIEM şifrələmə prosesinin başladığını erkən mərhələdə aşkar edə bilir.

Phishing (Fişinq)

İstifadəçiləri aldatmaq üçün saxta e-poçt və ya saytlar. İstifadəçi saxta linkə klikləyəndə SIEM şübhəli bağlantını qeyd edir.

Zero-Day Hücumu

Hələ heç kəsin bilmədiyi zəiflikdən istifadə edən hücum. Bu, ən təhlükəli hücum növüdür. Müasir AI əsaslı SIEM sistemləri belə hücumları davranış nümunəsi əsasında tanımağa çalışır.

 SIEM harada istifadə olunur?

SIEM yalnız böyük texnologiya şirkətlərinin işi deyil. Onu hər yerdə görə bilərsən:

Banklar və maliyyə qurumları. Milyonlarla müştərinin hesab məlumatları, kredit kartı nömrələri, bank əməliyyatları — hamısı qorunmalıdır. Bir bankın SIEM sistemi gündə milyardlarla əməliyyatı izləyir.

Xəstəxanalar və tibb mərkəzləri. Xəstə məlumatları ən həssas məlumatlardandır. Dünyada ən çox hücuma məruz qalan sahələrdən biri sağlamlıq sektorudur. SIEM bu məlumatları qoruyur.   Hökumət qurumları. Dövlət sirləri, vətəndaş məlumatları, hərbi sistemlər — bunların hamısı SIEM ilə qorunur. Bəzi ölkələr milli SIEM mərkəzləri yaratmışdır.

Universitetlər və məktəblər. Tələbə məlumatları, tədqiqat nəticələri, maliyyə sistemləri — təhsil qurumları da tez-tez hücuma məruz qalır. 

E-ticarət platformaları. Onlayn alış-veriş zamanı kart məlumatları, şəxsi məlumatlar daim risk altındadır. SIEM bu əməliyyatları real vaxtda izləyir.

 Ən Populyar SIEM Platformaları

Dünyada bir neçə aparıcı SIEM platforması var. Hər biri fərqli güclü cəhətlərə malikdir:

Splunk. Dünyada ən geniş istifadə edilən SIEM platformalarından biri. Çox güclü axtarış motoru var. Böyük şirkətlər tərəfindən sevilir, amma bahadır.

IBM QRadar. Korporativ dünyada çox populyardır. AI inteqrasiyası güclüdür. Xüsusilə banklar arasında geniş yayılmışdır.

Microsoft Sentinel. Bulud əsaslı müasir SIEM. Microsoft Azure ilə mükəmməl inteqrasiya edir. Son illərdə çox sürətlə böyüyür.

Elastic SIEM. Açıq mənbəli (open-source) olması ilə fərqlənir. Kiçik şirkətlər və startaplar üçün əla seçimdir.

ArcSight. HP-nin məhsuludur. Xüsusilə hökumət qurumlarında geniş istifadə olunur.

 SIEM-in gələcəyi — AI və Avtomatlaşdırma

Kibertəhlükəsizliyin gələcəyi SOAR (Security Orchestration, Automation and Response) ilə birlikdə SIEM-dir. Bu nə deməkdir?

Klassik SIEM xəbərdarlıq göndərir — sonra insan qərar verir. Amma müasir sistemlər bunu avtomatik edir. Hücum aşkar edilir → sistem özü IP-ni bloklar → özü hesabat yazır → özü digər sistemləri xəbərdar edir. İnsan müdaxiləsinə ehtiyac qalmır.

Maşın öyrənməsi (Machine Learning) SIEM-ə tamamilə yeni imkanlar verir. Sistem "normal" davranışı öyrənir — məsələn, bir işçi adətən saat 9-dan 18-ə qədər işləyir. Gecə saat 2-də həmin hesabdan giriş olursa, sistem bunu avtomatik şübhəli hesab edir.

Davranış Analizi (UEBA — User and Entity Behavior Analytics) isə hər istifadəçinin "rəqəmsal barmaq izi"ni yaradır. Kim adətən hansı fayllara baxır? Hansı proqramları işlədir? Kənarlaşma olduqda sistem dərhal xəbərdarlıq edir.

 Rəqəmlərlə SIEM dünyası

Hər 39 saniyədə bir kiber hücum baş verir

Orta hesabla bir hücum şirkət tərəfindən 207 gün sonra aşkar edilir — SIEM bu vaxtı saatlara endirir

Dünya üzrə SIEM bazarının dəyəri 2030-cu ilə qədər 20 milyard dollar-ı keçəcək

SIEM istifadə edən şirkətlər məlumat pozuntusunun dəyərini ortalama $1.5 milyon azaldır

SOC analitiklərinin 70%-i gündəlik işlərinin əsas hissəsini SIEM üzərindən həyata keçirir

 SIEM öyrənmək istəyirsənsə — Haradan başlamalısan?

Kibertəhlükəsizlik sahəsinə maraqlananlar üçün SIEM öyrənmək çox dəyərli bir başlanğıcdır. Bəs necə başlamaq olar?

Əsasları öyrən. Şəbəkə əsasları (TCP/IP, DNS, HTTP), Linux əmr sətri, log formatları (JSON, Syslog) — bunlar SIEM üçün zəruri biliklərdir.

Pulsuz alətləri sına. Elastic SIEM və Wazuh açıq mənbəli və pulsuzdur. Evdə özün üçün kiçik bir laboratoriya qura bilərsən.

Sertifikatlar al. CompTIA Security+, Splunk Core Certified User, IBM QRadar sertifikatları sənə işdə çox kömək edəcək.

Platformalarda məşq et. TryHackMe və Hack The Box kimi platformalarda SIEM ilə bağlı praktiki tapşırıqlar var. Oyun kimi öyrənirsən!

SOC analitiki yolunu izlə. SIEM sahəsindəki ən populyar karyera yolu Level 1 SOC Analitikidən başlayır. Oradan Level 2, Level 3, Threat Hunter, SIEM Mühəndisi kimi irəliləyə bilərsən.

 Kiber Lüğət — Bu sözləri bil!

LOG — Kompüterin tutduğu qeydlər. "Saat 10:00-da kimin hansı fayla baxdığı" kimi məlumatlar.

ALERT — Xəbərdarlıq siqnalı. SIEM şübhəli hərəkət aşkar etdikdə analitikə bildiriş göndərir.

CORRELATION — Fərqli mənbələrdən gələn məlumatları bir-biri ilə əlaqələndirmə prosesi.

BRUTE FORCE — Parolun düzgün kombinasiyasını tapmaq üçün dəfələrlə cəhd edilən hücum növü.

SOC — Security Operations Center. SIEM-in ekranlara baxıldığı "komanda mərkəzi" otağı.

FIREWALL — Şəbəkəni qoruyan "divar". Pis trafikin içəri girməsinin qarşısını alır.

THREAT INTELLIGENCE — Dünya üzrə bilinən kiber təhlükələr haqqında məlumat bazası. SIEM bu məlumatları istifadə edərək yeni hücumları tanıyır.

SOAR — Security Orchestration, Automation and Response. SIEM-in avtomatik reaksiya verən növbəti nəsil versiyası.

UEBA — User and Entity Behavior Analytics. İstifadəçilərin normal davranışını öyrənib kənarlaşmaları aşkar edən texnologiya.

ZERO-DAY — Hələ heç kəsin bilmədiyi, yamaq (patch) çıxmamış zəiflikdən istifadə edən hücum.

INCIDENT RESPONSE — Kiber hücum baş verdikdən sonra atılan addımlar planı.

IOC — Indicator of Compromise. Hücumun baş verdiyinə dair rəqəmsal izlər — şübhəli IP, zərərli fayl adı kimi.

 Nəticə

SIEM sadəcə bir proqram deyil — o, rəqəmsal dünyamızın gözəgörünməz qəhrəmanıdır. Sən bankda pul saxlayanda, xəstəxanada müayinə olunanda, dövlət portalında qeydiyyatdan keçəndə — arxada bir yerdə SIEM səssiz-küysüz işləyir və məlumatlarını qoruyur.

Kibertəhlükəsizlik sahəsi dünyada ən sürətlə böyüyən sahələrdən biridir. SIEM analitiki, SOC mühəndisi, Threat Hunter, Kiber Kəşfiyyatçı — bu peşələr üçün dünya üzrə 3.5 milyondan çox açıq iş yeri var. Bu sahəyə marağın varsa, SIEM öyrənmək sənin üçün ən doğru başlanğıc nöqtəsidir.

 Rəqəmsal dünyada güvənli ol — və onu qoruyanlara qoşul!

Kiber təhlükəsizlik sahəsini dərindən öyrənmək istəyirsinizsə, JET School-da kursuna qoşulun!