Ana içeriğe geç

Bölüm 20: Audit Logs ve SIEM Entegrasyonu

Audit Logs Sayfasına Genel Bakış

Audit Logs sayfası, Arceris'in tüm güvenlik ve yönetim olaylarını merkezi olarak görüntülediği ana denetim yüzeyidir. Üç sekmeden oluşur:

  • All Events: Yapısal audit olayları (giriş/çıkış, yönetim işlemleri, yapılandırma değişiklikleri, erişim kararları).
  • Blocked Requests: İstek tarafında engellenen veya reddedilen olaylar (PII block, injection block, policy deny, rate limit).
  • Response Scan: Yanıt tarafında taranan ve eşleşme bulunan olaylar.

All Events Sekmesi

Bu sekme, Arceris'in yapısal audit olaylarını listeler. Her olay şu bilgileri içerir:

  • Timestamp: Olayın oluşma zamanı.
  • Severity: Olayın önem seviyesi (aşağıda açıklanıyor).
  • Event Type: Olayın türü (aşağıda açıklanıyor).
  • Actor: Olayı tetikleyen aktör (kullanıcı adı veya sistem).
  • Result: İşlem sonucu (allowed, denied, blocked, success, failed).
  • Details: Olaya özel ek bilgiler (JSON formatında).

Filtreler:

  • Severity: Olayın önem seviyesine göre filtreleme. Seçenekler: Audit, Info, Warning, Error, Critical, Debug.
  • Event Type: Olay türüne göre filtreleme.
  • Search: Metin araması (serbest metin).
  • Date Range: Başlangıç ve bitiş tarihine göre filtreleme.

Severity (Önem Seviyeleri)

Her olay bir önem seviyesiyle etiketlenir:

  • Audit: Denetim amaçlı kaydedilen yönetim işlemleri (yapılandırma değişikliği, kural güncelleme, kullanıcı oluşturma vb.). Kurumsal uyumluluk için önemlidir.
  • Info: Bilgi düzeyinde olaylar (başarılı giriş, başarılı istek vb.). Operasyonel görünürlük sağlar.
  • Warning: Dikkat gerektiren durumlar (PII tespiti ama log modunda, rate limit yaklaşımı vb.). Güvenlik ekibinin incelemesi gerekebilir.
  • Error: Sistem hataları (kimlik doğrulama hatası, upstream bağlantı hatası vb.). Operasyon ekibinin müdahalesi gerekebilir.
  • Critical: Kritik güvenlik olayları (enjeksiyon saldırısı tespiti, erişim ihlali vb.). Acil müdahale gerektirir.
  • Debug: Geliştirme ve sorun giderme amaçlı ayrıntılı olaylar. Üretimde genellikle kapalıdır.

Event Types (Olay Türleri)

Event Type Açıklama
auth_login Başarılı kullanıcı girişi
auth_login_fail Başarısız giriş denemesi
auth_logout Kullanıcı çıkışı
admin_action Yönetici işlemi (kural silme, kullanıcı güncelleme vb.)
config_change Sistem yapılandırma değişikliği
user_request Kullanıcı API isteği
access_denied Erişim reddedildi (model ACL, scope uyuşmazlığı)
pii_detected PII eşleşmesi tespit edildi
injection_block Prompt injection engellendi
rate_limited Rate limit aşıldı
policy_denied Politika kuralı tarafından reddedildi
system_error Sistem hatası
auth_error Kimlik doğrulama hatası

Blocked Requests Sekmesi

Bu sekme, istek tarafında engellenen tüm olayları listeler. Her olay genişletilebilir bir kart olarak gösterilir ve şu bilgileri içerir:

  • Reason: Engellemenin nedeni (ör. "PII detected: email address", "Prompt injection blocked").
  • Timestamp: Olay zamanı.
  • User: İsteği yapan kullanıcı.
  • Policy: Eşleşen politika kuralı ID'si.
  • Source: Trafiğin kaynağı (API, Browser, IDE/CLI, Explicit Proxy).

Genişletildiğinde şu ek detaylar gösterilir:

  • Request ID: Benzersiz istek tanımlayıcısı.
  • Model: Kullanılan AI modeli.
  • Payload: İsteğin tam içeriği ("Audit Full Payload" açık ise). "View Payload" butonu ile tam içerik ayrı bir modal'da görüntülenebilir.

Filtreler:

  • Search: Metin araması (neden, kullanıcı, politika ID'si).
  • All Sources: Kaynak türüne göre filtreleme (API, Browser Proxy).
  • Date Range: Başlangıç ve bitiş tarihine göre filtreleme.

Response Scan Sekmesi

Bu sekme, yanıt tarafında tarama yapılan ve eşleşme bulunan olayları listeler. Blocked Requests ile aynı yapıya sahiptir, ancak "SCAN" etiketi ile gösterilir. Bu olaylar, Settings → Response Scanning bölümünde "Scan for PII" veya "Scan for Injection" açık olduğunda oluşur.

Export (Dışa Aktarma)

Her sekmede "Export" butonu ile mevcut filtrelenmiş veriler JSON formatında dışa aktarılabilir. Dosya adı formatı: audit-logs-<sekme>-<tarih>.json.

Source (Kaynak Türleri)

Deny ve response scan olayları, trafiğin nereden geldiğini belirten bir kaynak etiketi taşır:

  • API: Doğrudan API çağrısı (explicit proxy dahil).
  • Browser: Transparent proxy üzerinden gelen tarayıcı trafiği.
  • IDE / CLI: Transparent proxy üzerinden gelen geliştirici aracı trafiği.
  • Explicit Proxy: Explicit proxy üzerinden gelen istek.

Bu bilgi, olayın hangi yüzeyden geldiğini hızlıca anlamayı sağlar.

Audit Full Payload

Varsayılan olarak audit olaylarında ve deny olaylarında payload (istek/yanıt içeriği) kaydedilmez. Settings → Audit Full Payload toggle'ı etkinleştirildiğinde, tüm istek ve yanıtların tam metni audit kayıtlarına eklenir.

Dikkat: Bu özellik açıkken, prompt ve yanıtlardaki hassas veri (PII) loglarda görünebilir. Gerekmedikçe açık bırakılmamalıdır. Yalnızca sorun giderme ve derinlemesine analiz gerektiğinde geçici olarak açılmalıdır.

SIEM Entegrasyonu

Arceris, audit olaylarını kurumun merkezi güvenlik izleme sistemine (SIEM) gönderebilir. Bu entegrasyon, Settings → Syslog Integration bölümünden yapılandırılır.

Transport: Olayların gönderileceği iletişim protokolü:

  • HTTP Webhook: Olayları JSON payload olarak HTTP POST isteğiyle gönderir. Modern SIEM araçları (Splunk HEC, Elastic, Datadog) için uygundur.
  • UDP Syslog/CEF: Olayları UDP üzerinden iletir. Hızlı ama teslim garantisi yoktur. Düşük hacimli ortamlar için uygundur.
  • TCP Syslog/CEF: Olayları TCP üzerinden iletir. Teslim garantisi vardır. Üretim ortamları için önerilir.

Endpoint: Olayların gönderileceği hedef adres. HTTP için tam URL, syslog için host:port biçimi.

Format: Gönderilecek olayların çıktı biçimi:

  • JSON: Yapılandırılmış JSON formatı. En ayrıntılı ve makine-okunabilir formattır.
  • Syslog (RFC 5424): Standart syslog mesaj formatı. Mevcut SIEM altyapısına kolay entegrasyon sağlar.
  • CEF (Common Event Format): ArcSight ve benzeri SIEM araçları için optimize edilmiş format. Önceden tanımlı alan adlarıyla yapılandırılmış olay gönderir.

Min Severity: İletim için minimum önem seviyesi. Yalnızca bu seviye ve üzeri olaylar gönderilir. Örneğin "WARNING" seçildiğinde yalnızca Warning, Error, Critical ve Audit seviyesindeki olaylar iletilir; Info ve Debug filtrelenir.

Token: HTTP webhook için opsiyonel bearer token. Authorization: Bearer <token> header'ı ile gönderilir. UDP/TCP syslog'da kullanılmaz.

SIEM Yapılandırma Örnekleri

Splunk HTTP Event Collector (HEC):

  • Transport: HTTP Webhook
  • Endpoint: https://splunk.corp.com:8088/services/collector/event
  • Format: JSON
  • Token: Splunk HEC token

Elastic Filebeat / Logstash:

  • Transport: TCP Syslog
  • Endpoint: logstash.corp.com:514
  • Format: JSON veya Syslog (RFC 5424)

ArcSight / Micro Focus:

  • Transport: TCP Syslog
  • Endpoint: arcsight.corp.com:514
  • Format: CEF

SIEM ayarları veritabanında saklanır ve kaydedildiğinde anında uygulanır (yeniden başlatma gerektirmez). Endpoint alanı boş bırakıldığında SIEM iletimi devre dışı kalır.

İnceleme ve Denetim Senaryoları

Audit görünürlüğü yalnızca olay toplamak için değil; olayları anlamlandırmak için kullanılır. Yaygın senaryolar:

  • Erişim engeli sorunu: Bir kullanıcının "Access Denied" aldığını görmek için Blocked Requests sekmesi filtrelenir. Kullanıcı adı, politika ID'si ve payload incelenerek hangi kuralın engellediği belirlenir.
  • PII sızıntı kontrolü: "PII Detected" olay türü filtrelenerek hangi kullanıcıların PII gönderdiği ve hangi veri sınıflarının tetiklediği incelenir.
  • Prompt injection analizi: "Injection Blocked" olayları zaman çizelgesinde incelenerek saldırı örüntüleri tespit edilir.
  • Yapılandırma değişikliği denetimi: "Config Change" ve "Admin Action" olayları filtrelenerek kimin ne zaman hangi değişikliği yaptığı izlenir.
  • Başarısız giriş izleme: "Login Failed" olayları izlenerek brute-force denemeleri tespit edilir.