Bilgi Güvenliğinde Güvenlik Kayıtlarının Önemi

Aşağıda, Kayıt Sistemi için örnek bir kurulum ve işletim modeli verilmiştir.

Yukarıda verilen model paralelinde, Kayıt Sistemi kurulum ve işletimi yapmak için belirlenen adımlar verilmiştir. Şimdi bu adımları daha detaylı inceleyerek, ne anlama geldiğini açıklayalım:

• Öncelikle, güvenlik kayıtları izlenecek olan bileşenlerin belirlenmesi gerekir. Bileşenler belirlenirken, bileşenlerin sistem açısından arzettiği önem ve oluşturduğu gerekli veya gereksiz kayıt miktarı dikkate alınmalıdır. Ayrıca, bileşenin oluşturduğu kayıtların ne kadarının güvenlik açısından bizi ilgilendirdiği de önem arzetmektedir. Örneğin, bir anahtarlama cihazında (switch) portların aktif-pasif (up-down) olması bizi güvenlik açısından çok ilgilendirmeyecektir. Ama, anahtarlama cihazına uyguladığımız MAC adres filtrelemelerinin aşılmaya çalışılması güvenlik açısından ilgi çekici olacaktır.Güvenlik açısından kayıtlarını izlememiz gereken bileşenlerin başında, görevi doğrudan sistemin güvenliğini sağlamak olan bileşenler gelmelidir. Örneğin, Güvenlik Duvarı (Firewall), Saldırı Tespit/Engelleme Sistemi (Intrusion Detection/Prevention System), İçerik Kontrolcü (Content Filter) vb… gibi bileşenlerin kayıtları oluşturacağımız kayıt yönetim sisteminin yapı taşını oluşturabilir.

• Bileşenler belirlendikten sonra, bileşenlerden bütün kayıtların mı izleneceği yoksa belli seviyede kayıtların mı izleneceği belirlenmelidir. Bunun için bileşenlerin oluşturacağı kayıt tipleri incelenerek, hangi tip kayıtların güvenlik ile ilgili olduğu, hangi tip kayıtların güvenlikle ilgili olmadığı belirlenir.

• İzlenecek olan bileşenler ve kayıt seviyeleri belirlendi. Bu kayıtların, merkezi kayıt yönetim sistemine aktarılması için hangi mekanizmalar kullanılacak? Kayıt yönetim sistemi kurulduktan sonra bileşenlerden kayıtların gönderilmesi için değişik seçenekler bulunmaktadır. Bazı bileşenlerde bu işlem için basit ayarlar bulunmaktadır. Örneğin, Cisco marka bir yönlendirici de aşağıdaki komutlar kullanılarak, yönlendiriciye ait warning ve üstü seviyedeki kayıtların, 192.168.2.13 IP adresine sahip bir kayıt sunucuya gönderilmesi sağlanır:

Ancak, bileşende yer alan kayıtların, merkezi sunucuya gönderilmesi her bileşen için bu kadar kolay olmayabilir. Örneğin, Domain Controller, Exchange Sunucu gibi bileşenlerde kayıtları başka bir sunucuya göndermek için, ajan (agent) kurmak gerekir. Bu ajanlar vasıtasıyla, Windows’ta zaten var olan kayıt mekanizmasında tutulan kayıtlar, metin haline getirilerek, syslog formatında veya başka bir formatta merkezi sunucuya gönderilebilir.