6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile işletmelerin güvenlik altyapılarında bir takım teknik tedbirleri alması elzem haline gelmiştir. 5651 internet yasası ile loglamanın zorunlu olduğu işletmelerde KVKK ile loglama artık kaçınılmaz bir hal almıştır. SIEM, Security Information and Event Management olarak ifade edilen ve genelde Bilgi güvenliği Tehdit ve Olay Yönetimi şeklinde çevrilen ürünlerdir. Bir loglamadan çok daha fazlası olabilen bu ürünler ile artık güçlü bir önleyici mekanizmanın işletmede kurulması mümkün olabilmektedir.

KVKK çerçevesinde kişisel verilerin envanterinin çıkarılması ve erişimlerin yetki matrisiyle kontrol altına alınması beklenmektedir. Hal böyle olunca kişisel veriler üzerinde erişim loglamasının yapılması önemli bir husustur. Ancak başka bir konu ise bu logların önleyici olarak değerlendirilmesi ve gerekli aksiyonları alınması için yöneticileri uyaran sistemlerin kurulmasıdır. İşte SİEM tarzı ürünler güçlü korelasyon özelliği ile loglardan anlamlar üreten ürünlerdir. Piyada her ne kadar log toplama işiyle SİEM yönetimi anlaşılamasa da KVKK için SİEM kullanımı önemli bir konudur.

KVKK kapsamında kanun, yönetmelikler, kurul kararları hatta yayınlanmış teknik rehberler göz önüne alınması gereken kaynaklardır. İlgili teknik rehberlerde log yönetiminin yapılması teknik tedbirlerin başında gelen başlıklardan biridir. SIEM, sistem odasındaki bütün cihazlardan (Firewall, IDS, IPS, aktif cihaz logları, Sistem logları, uygulama logları vb) toplanmış loglar üzerinden tanımlanmış kurallara göre loglar arasında anlamlı ilişkiler kurarak bilgi sistem yöneticilerini uyaran, yönlendiren pasif önleyici sistemlerdir.

Saldırı Tespit Sistemleri (Intrusion Detection System – IDS) yalnızca Paketleri, Protokolleri ve IP Adreslerini anlar. Son kullanıcı güvenlik sistemleri (Endpoint Security) dosyaları, kullanıcı adlarını ve ana bilgisayarları görür. Servis loglarınız kullanıcı girişlerini, servis aktivitesini ve yapılandırma değişikliklerini gösterir. Varlık Yönetim sistemleri uygulamaları, iş süreçlerini ve sahiplerini görür. Ancak bu sistemlerin hiçbiri kendi başınıza iş süreçlerinizin sürekliliğini sağlamak açısından işinizde neler olduğunu anlatamaz… Ama bu toplanan loglar birlikte SIEM ile anlamlandırılır.

Bir log kaydı ile SIEM ilişki analizi farkı çok belirgindir. Örneğin aşağıdaki gibi bir log kaydı:
“16:19 8/7/2018 User JaneDoe Successful Auth to 10.10.20.109 from 10.10.8.212”
SİEM ile aşağıdaki şekilde anlamlandırılabilir:
“Ofiste kimsenin bulunmaması gereken bir günde bir Ofis Sistemine Pazarlama Departmanına ait bir Hesap bağlantı kurdu”