SIEM, “Security Information Management/Güvenlik Bilgi Yönetimi” (SIM) ve “Security Event Management/Güvenlik Olay Yönetimi” (SEM) sistemlerinin birleşiminden oluşan bir güvenlik çözümüdür. Farklı güvenlik cihazlarından (firewall, IDS/IPS, antivirüs, EDR, Windows/Linux sunucuları, ağ cihazları, veri tabanları vb.) gelen logları merkezi bir yerde toplayarak bunları kategorilere ayırır, analiz eder ve güvenlik kuralları yazmaya uygun hale getirir. SIEM, bu verileri kullanarak anormal aktiviteleri tespit eder, tehditleri belirler ve güvenlik ekiplerine olay yönetimi için uyarılar gönderir.

SIEM’in Özellikleri:

1. Log Toplama ve Depolama: Tüm sistemlerden (Firewall, IDS/IPS, antivirüs, EDR, sunucular, veritabanları ve ağ cihazları) gelen güvenlik günlüklerini (logları) merkezi olarak toplar ve saklar.
2. Gerçek Zamanlı İzleme ve Alarm Üretme: Sistemlerde meydana gelen olayları anlık olarak izler. Şüpheli aktiviteleri belirleyerek güvenlik analistlerine alarm gönderir.
3. Tehdit İstihbaratı: Global tehdit istihbaratını kaynaklarını entegre ederek güncel siber tehditlere karşı önceden uyarılar verir.
4. Olay Müdahale: SIEM, SOAR (Security Orchestration, Automation, and Response) ile entegre olarak bazı olaylara otomatik yanıt verir.
5. Uyumluluk ve Raporlama: SIEM, ISO 27001, GDPR, HIPAA, NIST, PCI-DSS gibi güvenlik ve veri gizliliği standartlarına uyum sağlamak için raporlar üretir.

6. Adli Bilişim (Forensics) ve Olay Kayıtları: Güvenlik olayları detaylı şekilde kaydedildiği için, saldırı sonrası analiz yapmak mümkündür.

Bazı SIEM Ürünleri

1. IBM QRadar: SIEM, SOAR ve tehdit istihbaratı entegrasyonu sunar. Ağ trafiğini analiz ederek saldırıların izlerini takip eder. Ayrıca İç ve dış tehditlere karşı otomatik risk puanlama ve tehdit değerlendirme yapar.
2. Splunk: Büyük ölçekli organizasyonlar için gelişmiş SIEM ve log analitik yetenekleri sunar. Kullanımı kolay bir arayüzü vardır ve güçlü log arama yeteneklerine sahiptir. Ayrıca Kullanıcıların özel aramalar ve korelasyon kuralları yazmasını sağlar.
3. Microsoft Sentinel (Azure Sentinel): Tamamen bulut tabanlı bir SIEM çözümüdür ve Microsoft ekosistemi ile entegredir. Fiziksel donanıma ihtiyaç duymadan hızlı kurulum kolaylığı sağlar.
4. ArcSight (Micro Focus ArcSight): İç tehditleri belirlemek için kullanıcı hareketlerini izler. Kurulumu karmaşıktır ve yüksek donanım gereksinimleri vardır.
5. RSA NetWitness: Özellikle tehdit avcılığı (threat hunting) ve adli bilişim (forensics) odaklı bir SIEM çözümüdür.
6. Exabeam: UEBA (User and Entity Behavior Analytics) tabanlı bir modern SIEM platformudur. Ağ trafiği analizi ve olay korelasyonu IBM QRadar kadar güçlü değil.
7. Rapid7 InsightIDR: Tehdit avcılığı ve saldırı tespiti için tasarlanmış bulut tabanlı bir SIEM çözümüdür.