Sistem Gereksinimleri ve Hazırlık
Rocky Linux 9 üzerinde SIEM çözümlerinin kurulumu için öncelikle sistem gereksinimlerinin belirlenmesi önemlidir. Bu tür uygulamalar genellikle yüksek kaynak talep eder. En az 8 GB RAM, çok çekirdekli bir işlemci ve yeterli disk alanı gereklidir. Disk alanı ihtiyacı; verilerin saklanması için 100 GB veya daha fazla olabilir. İnternet bağlantısının sağlanması da güncellemeler ve dış kaynaklarla kurulum esnasında önemlidir.
Rocky Linux 9’un Güncellenmesi
Kuruluma başlamadan önce, sistemin en güncel paketlerle çalışmasını sağlamak için bazı güncellemelerin yapılması önerilir. Terminal açılarak aşağıdaki komutlar sırayla uygulanmalıdır:
“`bash
sudo dnf update -y
sudo dnf upgrade -y
“`
Java ve Eklentilerin Kurulumu
ELK stack (Elasticsearch, Logstash, Kibana) gibi çözümler Java tabanlı uygulamalardır. Bu nedenle, Java’nın sisteme kurulması gerekmektedir. Terminalde aşağıdaki komut çalıştırılarak Java kurulumu gerçekleştirilir:
“`bash
sudo dnf install java-11-openjdk -y
“`
Kurulumun ardından, Java’nın doğru şekilde kurulduğunu kontrol etmek için aşağıdaki komut kullanılabilir:
“`bash
java -version
“`
Elasticsearch Kurulumu
ELK stack içindeki ilk bileşen olan Elasticsearch, logları depolamak ve sorgulamak için kullanılır. Elasticsearch kurulumu için resmi indirme sayfasından RPM dosyası indirilmelidir. Komut satırında şu adımlar izlenir:
“`bash
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.15.0-x86_64.rpm
sudo rpm -ivh elasticsearch-7.15.0-x86_64.rpm
“`
Ardından, Elasticsearch servisi başlatılmalı ve sistem başlangıcında otomatik olarak başlaması için etkinleştirilmelidir:
“`bash
sudo systemctl start elasticsearch
sudo systemctl enable elasticsearch
“`
Logstash Kurulumu
Logstash, log verilerini toplamak ve şekillendirmek için kullanılır. Logstash kurulumunu gerçekleştirmek için yine RPM paketini indirmek gerekir:
“`bash
wget https://artifacts.elastic.co/downloads/logstash/logstash-7.15.0.rpm
sudo rpm -ivh logstash-7.15.0.rpm
“`
Kurulumdan sonra, Logstash servisi başlatılmalıdır:
“`bash
sudo systemctl start logstash
sudo systemctl enable logstash
“`
Kibana Kurulumu
Kibana, Elasticsearch üzerinde depolanan verileri görselleştirmek için kullanılır. Kibana’nın kurulumu için gerekli RPM dosyası şu şekilde indirilebilir:
“`bash
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.15.0-x86_64.rpm
sudo rpm -ivh kibana-7.15.0-x86_64.rpm
“`
Kibana’nın başlatılması ve otomatik başlaması için gerekli adımlar:
“`bash
sudo systemctl start kibana
sudo systemctl enable kibana
“`
Splunk Kurulumu
Splunk, SIEM çözümleri için başka bir popüler ve güçlü bir araçtır. Splunk’ı kurmak için uygun RPM dosyası indirilmelidir. Bu işlem için Splunk’ın resmi web sitesine gidilmelidir. Indirme işlemi tamamlandıktan sonra, terminal üzerinden aşağıdaki komut ile kurulum gerçekleştirilebilir:
“`bash
sudo rpm -ivh splunk-
“`
Kurulumun ardından, Splunk servisi başlatılmalı ve otomatik başlaması için ayarlanmalıdır. İlk çalıştırma sırasında Splunk’ın yönetici kullanıcı adı ve şifresi oluşturulması istenir:
“`bash
sudo /opt/splunk/bin/splunk start
sudo /opt/splunk/bin/splunk enable boot-start
“`
Ağ Ayarları ve Güvenlik Duvarı
Kurulumdan sonra, Elasticsearch ve Kibana ile dışarıdan erişimi sağlamak için gerekli ağ ayarlarının yapılması ve güvenlik duvarı kurallarının ayarlanması gereklidir. Sistemin erişimini açmak için gerekli portlar açılmalıdır:
“`bash
sudo firewall-cmd –zone=public –add-port=5601/tcp –permanent
sudo firewall-cmd –zone=public –add-port=9200/tcp –permanent
sudo firewall-cmd –reload
“`
Verilerin Toplanması ve Analizi
Kurulum tamamlandıktan sonra, log verilerinin toplanması için Logstash veya Splunk üzerinden çeşitli kaynaklardan veri akışı sağlanabilir. TCP veya UDP üzerinden log verileri alınıp işlenmeye başlanmalıdır. Bunun için ilgili konfigürasyon dosyalarında gerekli ayarlamalar yapılmalıdır.
Sonuç
Rocky Linux 9 üzerinde SIEM çözümleri olan ELK stack veya Splunk’ın kurulumu yukarıda belirtilen adımlar izlenerek gerçekleştirilebilir. Bu sistemler, organizasyonlarda güvenlik olaylarını takip etmek ve analiz etmek için güçlü araçlar sunmaktadır. Uygulamaların düzgün çalışabilmesi için düzenli bakım ve güncellemelerin yapılması önerilir.
