SIEM, Syslog ve 5651: Doğru Mimari Nasıl Kurulur?

Kurumsal ağlarda üretilen log (günlük) verileri, yalnızca siber tehditlerin tespit edilmesi için değil, aynı zamanda yasal uyumluluk gereksinimlerinin karşılanması için de en kritik bilgi kaynağıdır. Türkiye'de faaliyet gösteren işletmeler için 5651 sayılı kanun, internet toplu kullanım sağlayıcılarına ve yer sağlayıcılara belirli log verilerini zaman damgasıyla imzalayarak saklama yükümlülüğü getirmektedir. Ancak birçok kurum, 5651 uyumluluğunu sağlamaya çalışırken Syslog altyapısını ve SIEM (Security Information and Event Management) sistemlerini yanlış kurgulamakta, bu da hem güvenlik zafiyetlerine hem de yasal geçersizliklere yol açmaktadır.

Bu rehberde; Syslog, SIEM ve 5651 zaman damgası bileşenlerinin bir arada çalıştığı, hem yasal olarak tam uyumlu hem de siber güvenlik standartlarına uygun doğru bir loglama mimarisinin nasıl kurulacağını adım adım inceleyeceğiz.

Loglama Mimarisi Bileşenleri: Syslog, SIEM ve 5651

Doğru bir mimari kurabilmek için öncelikle bu üç temel bileşenin rollerini ve birbirleriyle olan ilişkilerini doğru konumlandırmak gerekir.

1. Syslog (Sistem Günlüğü)

Syslog, ağ cihazları (firewall, switch, router), sunucular ve uygulamalar tarafından üretilen log mesajlarının standart bir formatta merkezi bir sunucuya aktarılmasını sağlayan protokoldür.

• Görevi: Kaynak cihazlardan ham log verilerini toplamak ve merkezi bir log sunucusuna (Syslog Server) iletmektir.
• Sınırları: Syslog protokolü tek başına verileri anlamlandırmaz, ilişkilendirmez (correlation) ve yasal zaman damgası vurmaz. Sadece bir taşıma ve depolama mekanizmasıdır.

2. SIEM (Güvenlik Bilgisi ve Olay Yönetimi)

SIEM, farklı kaynaklardan gelen log verilerini gerçek zamanlı olarak toplayan, normalize eden, analiz eden ve güvenlik olaylarını ilişkilendirerek alarm üreten sistemdir.

• Görevi: Loglar arasında anlamlı bağlar kurarak (örneğin: ardışık başarısız giriş denemelerinin ardından gelen başarılı giriş olayını tespit etmek) siber saldırıları anında yakalamaktır.
• Sınırları: SIEM sistemleri siber güvenlik operasyonları için mükemmeldir ancak yerleşik olarak 5651 sayılı kanunun gerektirdiği TÜBİTAK zaman damgasıyla imzalama işlemini her zaman doğrudan gerçekleştiremezler.

3. 5651 Zaman Damgası (Timestamp)

5651 sayılı kanun kapsamında toplanan IP dağıtım logları, DHCP logları ve firewall trafik loglarının yasal olarak delil niteliği taşıyabilmesi için hash (özet) değerlerinin yetkili bir zaman damgası sunucusu (genellikle TÜBİTAK Kamu SM) aracılığıyla imzalanması zorunludur.

• Görevi: Log dosyasının oluşturulduğu andan itibaren üzerinde hiçbir değişiklik yapılmadığını (bütünlüğünün korunduğunu) yasal olarak ispatlamaktır.

Doğru Loglama Mimarisi Nasıl Tasarlanır?

Hem siber güvenlik operasyonlarınızı (SOC) besleyecek hem de 5651 uyumluluğunu yasal olarak garanti altına alacak hibrit bir mimari kurmak en sağlıklı yaklaşımdır. İşte adım adım doğru mimari kurgusu:

[Ağ Cihazları / Sunucular]
         │
         ├───► (Syslog / TLS) ───► [Merkezi Syslog / Log Collector]
         │                                │
         │                                ├───► [5651 İmzalama Modülü] ───► [Zaman Damgalı Arşiv]
         │                                │
         └───► (Agent / Syslog) ──────────┴───► [SIEM Platformu (Wazuh / ELK)]

Adım 1: Ham Logların Güvenli İletimi (Syslog over TLS)

Log üreten firewall, switch, DHCP sunucusu gibi kaynaklardan loglar merkezi toplayıcıya aktarılırken şifrelenmelidir. UDP port 514 üzerinden yapılan geleneksel Syslog aktarımları şifresizdir ve ağda araya giren kişiler tarafından okunabilir/değiştirilebilir.

• Çözüm: Log iletiminde Syslog over TLS (TCP port 6514) protokolü kullanılmalıdır. Bu sayede logların kaynaktan toplayıcıya kadar bütünlüğü ve gizliliği korunur.

Adım 2: Logların Ayrıştırılması ve Filtreleme

Her log verisi 5651 kapsamında saklanmak zorunda değildir. Örneğin, bir sunucunun detaylı debug logları yasal uyumluluk için gereksiz yer kaplar ancak SIEM için değerli olabilir.

• Çözüm: Merkezi log toplayıcı üzerinde kurallar tanımlanarak; 5651 için zorunlu olan IP logları (DHCP, NAT, Firewall trafik logları) imzalama modülüne yönlendirilmeli, güvenlik analizi için gereken tüm loglar ise SIEM sistemine aktarılmalıdır.

Adım 3: 5651 Zaman Damgası Entegrasyonu

5651 için ayrıştırılan loglar günlük olarak (her gece 00:00'dan sonra) otomatik olarak sıkıştırılmalı (zip/tar.gz), hash değeri alınmalı ve TÜBİTAK Kamu SM zaman damgasıyla imzalanmalıdır.

• Kritik Kural: İmzalanan log dosyaları ve zaman damgası sertifikaları (tsr uzantılı dosyalar) en az 2 yıl boyunca güvenli ve değiştirilemez bir depolama alanında saklanmalıdır. Log bütünlüğünün önemi hakkında daha fazla bilgi edinmek için 5651 Uyumunda Log Bütünlüğü Neden Kritik? rehberimizi inceleyebilirsiniz.

Adım 4: SIEM Korelasyonu ve SOC İzleme

SIEM tarafına aktarılan loglar, güvenlik analistleri tarafından sürekli olarak izlenmelidir. Ağınızdaki hareketliliği izlemek ve tehditleri anında yakalamak için SOC Odaklı Güvenlik Olay İzleme ve Müdahale servisimizden yararlanabilirsiniz.

Mimari Kurulumda Sık Yapılan Hatalar

İşletmelerin loglama altyapılarını kurarken en sık düştüğü hatalar şunlardır:

1. Sadece SIEM Kurup 5651'i Unutmak: SIEM sistemleri logları veritabanında tutar ancak bu veritabanı kayıtları yasal olarak zaman damgalı dosya formatında olmadığı sürece mahkemede delil olarak kabul edilmeyebilir.
2. Sadece 5651 İmzalama Cihazı Kullanmak: Bu cihazlar yasal uyumluluğu sağlar ancak siber saldırıları tespit edemezler. Ağınızda bir sızıntı olduğunda bunu fark edemezsiniz.
3. Zaman Damgası Kontrolü Yapmamak: Zaman damgası kontörünün bitmesi veya sertifika süresinin dolması nedeniyle logların imzalanamaması, denetimlerde cezai müeyyidelerle karşılaşmanıza neden olur.

Bütünsel Güvenlik ve Uyum Çözümleri

Loglama mimarinizi tasarlarken yasal uyumluluk ile siber güvenlik operasyonlarını birleştirmek kurumunuza hem maliyet hem de operasyonel verimlilik avantajı sağlar. Açık kaynaklı ve güçlü araçlarla entegre bir yapı kurmak için Wazuh / Snort / Suricata Güvenlik Entegrasyonu çözümlerimizi inceleyebilirsiniz.

Ayrıca, 5651 uyumluluğu ile KVKK arasındaki teknik ve idari farkları daha iyi anlamak için 5651 ile KVKK Arasındaki Fark Nedir? başlıklı makalemize göz atabilirsiniz.

Kurumunuzun BT altyapısını siber tehditlere karşı korumak, yasal denetimlere eksiksiz hazırlanmak ve profesyonel loglama mimarisi kurulumu gerçekleştirmek için Yönetilen Hizmetler ekibimizle iletişime geçebilirsiniz.

Sıkça Sorulan Sorular

Syslog verileri doğrudan mahkemede delil olarak kullanılabilir mi?

Hayır. Ham Syslog verileri düz metin (plain text) formatında olduğu için kolaylıkla değiştirilebilir. Bu verilerin mahkemede yasal delil niteliği kazanabilmesi için mutlaka yetkili bir zaman damgası (TÜBİTAK Kamu SM vb.) ile imzalanmış olması gerekir.

SIEM ve 5651 loglama sistemleri aynı sunucu üzerinde çalışabilir mi?

Teknik olarak çalışabilir ancak önerilmez. SIEM sistemleri yüksek CPU ve RAM tüketen yoğun analiz araçlarıdır. 5651 loglarının ise kesintisiz ve güvenli bir şekilde arşivlenmesi gerekir. Bu nedenle iki yapının mantıksal veya fiziksel olarak ayrıştırılması en doğru mimari yaklaşımdır.

5651 loglarını ne kadar süreyle saklamak zorundayız?

5651 sayılı kanun ve ilgili yönetmelikler uyarınca, trafik ve erişim loglarının doğruluğu, bütünlüğü ve gizliliği korunarak en az 2 yıl süreyle saklanması yasal bir zorunluluktur.

Sonuç

Doğru bir loglama mimarisi, sadece yasal cezaların önüne geçmekle kalmaz; aynı zamanda kurumunuzun dijital varlıklarını siber saldırganlara karşı koruyan en güçlü savunma hatlarından birini oluşturur. Syslog protokolünün esnekliği, SIEM sistemlerinin analiz gücü ve 5651 zaman damgasının yasal güvencesi bir araya getirildiğinde, siber güvenlikte tam görünürlük ve tam uyumluluk elde edilir.