𝐒𝐈𝐄𝐌 𝐌𝐀𝐘𝐈𝐍 𝐓𝐀𝐑𝐋𝐀𝐒𝐈
SIEM çözümleri uçakta kara kutu neyse IT altyapısı için de aynı şeyi ifade eder ve aynı öneme sahiptir.
SIEM çözümleri eğer dikkatli seçilmez ve kurgulanmazsa mayınlar içerebilir. Bu mayınlara basılması 2,3 yıl alabilir hatta bazen daha da uzun sürebilir ama eninde sonunda mayına basılır.
Dört(4) önemli mayını sıralayacağım.
💣EPS değerlerinin hesaplanmaması, bilinmemesi veya yanlış olması. Yani log kaybı. Bu da bir mayındır. Benim 10 yıldan uzun bir zamandır kullandığım sansinstitute (SANS) tarafından hazırlanan bir tablo var. Bu tablo Gartner Magic Quadrant da lider olan Exabeam tarafından da kullanılıyor. Gerçek değerinizi ya da olması gereken değerinizi görmek veya mevcut değerlerinizi kontrol etmek için bu tabloyu kullanabilirsiniz.
💣Logları canlı tutarken, indekslenen alanların kısıtlı olması. Eğer logdaki bütün alanlar, Fortigate Firewall logundaki yaklaşık 60 alanın tamamı, Windows logundaki SID, Application Instance ID, Client Context ID, Logon GUID, Package Name gibi her alan indekslenmezse lazım olduğunda indekslenmeyen veriye ulaşılamaz. Bütün alanların indekslenmemesinin altında yatan ise disk boyutunu azaltmaktır.
💣Logları 7 gün, 1 ay, 3 ay canlıda tutarak tehdit avcılığı yapılamaz, güvenlik yönetimi için eliniz kolunuz bağlı kalır. Ayrıca olası KVKK veri ihlali durumlarının çoğu zaman analizi yapılamaz.
💣 Korelasyon sadece bir kullanıcı hesabı yükseltilirse haber ver veya 5 dakikada 3 tane başarısız oturum olursa haber ver tarzında kurallardan ibaret sanmak büyük bir mayındır ve her an basabilirsiniz.
Yukarıdaki mayınlarla ilgili detaylı okuma yapmak için aşağıdaki linke bakılabilir.
SIEM konusunda derinlemesine okuma yapmak isterseniz aşağıdaki linklere bakabilirsiniz.
