Bu yazımızda bir DLP çözümü olan Teramind ile SIEM çözümü olan HP ArcSight’ı nasıl entegre edebileceğimizi ele alacağız.

Öncelikle birkaç tanımla başlayalım.

SIEM, güvenlik bilgileri ve olay yönetimi anlamına gelmektedir. Güvenlik bilgileri ve olay yönetimi (SIEM), SIM (güvenlik bilgileri yönetimi) ve SEM (güvenlik olay yönetimi) işlevlerini tek bir güvenlik yönetimi sisteminde birleştiren bir güvenlik yönetimi yaklaşımıdır.

Güvenlik Bilgileri ve Olay Yönetimi yazılımları, on yıldan fazla bir süredir çeşitli şekillerde kullanılmaktadır ve bu süre zarfında önemli ölçüde gelişmiştir. Bu çözümler, gerçek zamanlı olarak bir ağda olup bitenlere dair bütünsel bir görünüm sağlamaktadır ve BT ekiplerinin güvenlik tehditlerine karşı mücadelede daha proaktif olmalarına yardımcı olmaktadır.

Veri kaybını önleme (DLP) ise hassas verilerin kaybolmamasını, kötüye kullanılmamasını veya yetkisiz kullanıcılar tarafından erişilmemesini sağlamak için kullanılan bir dizi araç ve süreçtir. DLP yazılımı, düzenlenmiş, gizli ve iş açısından kritik verileri sınıflandırır ve genellikle KVKK, PCI-DSS veya GDPR gibi yasal zorunluluklara tabi olan, kuruluşlar tarafından veya önceden tanımlanmış bir paket içinde tanımlanan ilkelerin ihlallerini tanımlar. Bu ihlaller belirlendikten sonra DLP, son kullanıcıların kurumu riske atabilecek verileri yanlışlıkla veya kötü niyetle paylaşmasını önlemek için bildirimler, uyarılar ve engeller koyarak veri kaybını önlemeyi amaçlar.

Veri kaybı önleme yazılımı ve araçları, uç nokta etkinliklerini izler ve kontrol eder, kurumsal ağlardaki veri akışlarını filtreler ve durağan, hareket halindeki ve kullanımdaki verileri korumak için buluttaki verileri izler. DLP ayrıca uyumluluk ve denetim gereksinimlerini karşılamak ve anomali alanlarını belirlemek için raporlama sağlar.

Teramind’da HP ArcSight ile SIEM Entegrasyonu Kurma

Teramind Dashboard’un sağ üst köşesinin yakınındaki Gear simgesine tıklayın.
Açılır menünün altındaki Integrations’ı tıklayın.

SIEM Entegrasyonu

Kontrol panelinin sağ üst köşesine yakın Gear simgesine tıklayın, Integrations’ı seçin. Ardından, Integrations ekranının sağ üst köşesinde SETUP NEW INTEGRATION’a tıklayın. Bir kurulum sihirbazı açılacaktır.

SIEM Entegrasyonu

Ürün türleri listesinden SIEM’leri seçin.
Ürün listesinden bir SIEM ürünü seçin. Örneğin, HP ArcSight.
2. Adıma devam etmek için NEXT STEP’e tıklayın.

Transport protokolünü (UDP veya TCP) seçin.
SIEM ürününün bulunduğu bir Hostname ve Port yazın.
3. Adıma devam etmek için NEXT STEP’e tıklayın.

Bir event açıp kapatmak için YES/NO kaydırma düğmesine tıklayın. Seçilen event’ler SIEM’e gönderilecektir.
Veri eşlemesini yapılandırmak için bir Database simgesine tıklayın. Bir Data mapping penceresi açılacaktır.

İlgili Teramind alanı için hangi SIEM alanının kullanılacağını eşleyin. Açmak/kapatmak için bir alanın önündeki onay kutusunu kullanabilirsiniz.
Veri eşleme tamamlandığında, Veri eşleme penceresini kapatmak ve 3. Adım penceresine dönmek için SAVE düğmesine tıklayın.
Entegrasyonu kaydetmek ve başlatmak için 3. Adım penceresindeki LAUNCH INTEGRATION’a tıklayın.