Log toplamak neden tek başına yeterli değildir?
Birçok kurum “loglarımız var” cümlesini güvenlik olgunluğunun göstergesi gibi kullanır. Ancak olay anında aynı kurumlar temel sorulara cevap veremez: Kim girdi, ne zaman girdi, hangi kaynaktan geldi, sonrasında ne yaptı, hangi veriyle temas etti? Bu çelişki tesadüf değildir.
Sorun, logun yokluğu değil; logun okunabilir, ilişkilendirilebilir ve bağlam içinde yorumlanabilir olmamasıdır. Kısacası log varlığı ile gerçek görünürlük aynı şey değildir.
Log okunabilirliği ne demektir?
Log okunabilirliği, yalnızca kayıtların mevcut olması değil; şu özellikleri de taşımasıdır:
- doğru kaynaktan geliyor olması
- yeterli ayrıntı içermesi
- zaman damgalarının uyumlu olması
- olay anında erişilebilir olması
- başka loglarla ilişkilendirilebilmesi
- yorumlanabilir formatta tutulması
Bir kurum on farklı sistemden log toplayabilir; ama bunlar zaman olarak hizalanmıyor, kullanıcıyı açık göstermiyor veya olay anında hızla filtrelenemiyorsa görünürlük yine zayıf kalır.
Kurumlar neden yine de kör kalıyor?
1. Log var ama doğru katmanlar eksik
Bazı kurumlar sadece işletim sistemi logunu tutar; ama uygulama veya kimlik doğrulama katmanı zayıftır.
2. Retention süresi kısa
Olay fark edildiğinde kritik kayıtlar çoktan dönmüş olabilir.
3. Zaman uyumu bozuk
Farklı sistemler farklı saat kullanıyorsa olay akışı yanlış kurulur.
4. Log formatları parçalı
Bir yerde IP var, başka yerde kullanıcı var, ama bunlar birleştirilemez.
5. Gürültü fazla, sinyal az
Yüksek hacimli ama düşük anlamlı kayıt, analizi zorlaştırır.
6. Olay anında erişim ve sorgulama disiplini yok
Log vardır ama kimse hangi soruyu hangi ekranda arayacağını bilmez.
Hangi log eksikleri en çok problem yaratır?
- kimlik doğrulama kayıtlarının yüzeysel tutulması
- başarılı giriş var ama cihaz bilgisi yok
- uygulama erişim loglarının sınırlı olması
- veri tabanı sorgu geçmişinin yetersizliği
- dosya paylaşım ve dışa aktarım hareketlerinin görünmemesi
- bulut ve on-prem kayıtların ayrık kalması
- servis hesaplarının insan hesabı gibi görünmesi
Bu eksikler, özellikle veri ihlali şüphesi ve kimlik bilgisi kötüye kullanımı olaylarında kritik hale gelir.
Log okunabilirliğini ne artırır?
Temel unsurlar
- zaman senkronizasyonu
- açık kullanıcı ilişkilendirmesi
- olayla anlamlı alanların tutulması
- yeterli saklama süresi
- farklı katmanlar arasında korelasyon imkânı
- olay anında hızlı sorgulama disiplini
- operasyonel ve güvenlik loglarının birlikte düşünülmesi
Burada asıl amaç daha çok log değil; daha anlamlı log üretmektir.
Teknik ekip hangi soruları sormalıdır?
- bu log gerçekten olayla ilgili katmanı görüyor mu?
- aynı kullanıcıyı başka sistemlerde eşleştirebiliyor muyum?
- zaman damgaları güvenilir mi?
- saklama süresi olay incelemesine yetecek kadar uzun mu?
- bu loglardan olay zaman çizelgesi kurulabilir mi?
Bu sorular, logun sadece var olup olmadığını değil, işe yarayıp yaramadığını gösterir.
Sık sorulan sorular
Log toplamak neden yeterli değildir?
Çünkü görünürlük için logun anlamlı, erişilebilir ve ilişkilendirilebilir olması gerekir.
En büyük fark nedir?
Log varlığı “kayıt var” der; log okunabilirliği “bu kayıttan sonuç çıkarılabilir” der.
Ne tür olaylarda bu fark daha çok hissedilir?
Yetkisiz erişim, veri ihlali, servis hesabı kullanımı ve uygulama bazlı olaylarda.
Kurumların log topluyor olması, teknik olarak gördüğü anlamına gelmez. Gerçek görünürlük; doğru logu, doğru ayrıntıyla, doğru sürede, doğru bağlamda kullanabilmekten doğar. Olgun kurum yaklaşımı log miktarını artırmak değil, log anlamını güçlendirmektir.