AlienVault EMEA Teknik Operasyon Direktörü Kursat Çolakoğlu Beyin ve Benim Cevaplarım
Kürşat bey aşağıdaki makaleme cevap göndermiş.
Onun ve benim yazdıklarım aşağıdadır
Ertugrul bey,
Selamlar,
AlienVault EMEA Teknik Operasyon Direktörü Kursat ben. Umarım görüşmeyeli iyisinizdir. Sizlerin boyle vakit bulup , nette yazılar yazabilmeniz inanın bizi cok sevindiriyor. Zira biz ozellikle son 6 aydır, yogunluktan kafamızı kaldıramıyoruz. Gecen gun 100.musterimizide listemize ekledik ve kendisi oldukca buyuk lokasyonları olan bir holdingti. Simdi AlienVault icin yazdıklarınızı okuyordum.Bazı konularda maalesef eski bilgilerde kaldıgınızı gordum. Hem sizi hem de bu yazıyı okuyan diger meslekdaslarımızı update etmekte fayda buluyor.
- AlienVault 2 DB den olusur. Birisi Mongo DB ( imzalı logların saklandıgı yer ) , ikincisi ise MySQL ( SIEM eventlerinin tutukludu yer ) dir.
- AlienVault uzerinde 1000 EPS , muadil olan urunlerin 3 asagı 5 yukarı 20.000 EPS ‘ine denk gelmektedir. Hesaplama oranlarımız farklıdır.Şöyle izah edeyim; bir SIEM urunu ethernet portundan bir sn de giren log sayısına EPS derken , bizim EPS degerimiz 0 diyoruz. Cunku bizde EPS olusturması icin o logun 24.000 fazla aktif calısan korelasyon kurallarından en azından birine takılması gerekir. Yani benim icin EPS ; korelasyon kurallarıma takılan 1 sn deki log sayısıdır. Buradaki bilginizi guncelleyelim.
- AlienVault, ismi lazım degil bir musterimizde PetaByte miktarında log yonetmektedir. Sizin sozunu ettiginiz / incelediginiz ürün ya yanlıs kurulmus ya da destek aldıgınız arkadas tarafımızdan egitime alınmamıs gibi.Burada Turkiye’deki en buyuk yetkili disiti olan Akbilge Bilisim firmasının faydası cok buyuktur. Zira ilgili firma bu urunun cok iyi arkasında durmakta , yurtdısı ile cozemedigi sorunlara kendileri cozum uretmektedir. Ornek;
a. AlienVault External DB -> ilgili modul , Akbilge bilisim programcıları ve yurtdısı teknik ekibin incelemesiyle / katkılarıyla gelistirilmis olup , patenti akbilgeye aittir. Bu modulun tek amacı ; Alien Diski belli bir kullanım oranına geldiginde tum logları external bir storage ‘a otomatik export etmesi ve istediginde ise alien icerisine geri tasınmasına olanak saglamasıdır.
b. DB aktivite monitoring ; Her ne marka db kullanırsa kullansın musteri TABLE ACTIVITE lerini eksiksiz olarak alıp , imzalayıp, parse edip ve talep ediliyorsa “ sorgu icerisinde 123 kelimesi geciyor ” diye alarm uretebiliyorlar.
c. Office365 modulu ; 30'a yakın cloud logunu cloud a bir sey yuklemeden tek bir sistem uzerinden logları alıp parse edebiliyorlar.Cloud dan log almak icin baska markalar gibi musteriye ilave programcıklar satmıyorlar.
Bunları yazmakla bitiremem ama sunu soyleyebilirim. Yıl 2019 ve Akbilge bilisim 100. musterisine 4.yılında ulastı. Bence tesekkuru hak ediyorlar.
Ertugrul bey, sizden ricam urunleri elestirmeden once , benim gibi her urunun teknik muhendislerini arayıp , sorun, cocuklar ne yapıyorsunuz , ne gibi seyler gelistirdiniz diye… inanın sizinle sohbet etmek bizim icin önemlidir.
Kendinize iyi bakın.
Sevgiyle kalın.
Kursat.
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
Merhaba Kürşat Bey,
Ben üreticinin dokümanından link verdim. Tekrar aynı linki paylaşayım.
https://cdn5.alienvault.com/docs/data-sheets/usm-appliance.pdf.
Yani kendi yorumumu katmadım. Ayrıca bilmiyor olabilirsiniz üreticinin blogunda EPS den dolayı yaşanan sorunlarla iligli bir sürü soru var. Bir tanesini paylaşayım
Dolayısı ile üreticinin sözüne itibar edeceğim.
“Siz de AlienVault uzerinde 1000 EPS , muadil olan urunlerin 3 asagı 5 yukarı 20.000 EPS ‘ine denk gelmektedir.” diyerek olaya SIEM dünyasının alışık olmadığı veya dışında (doğru cümleyi bulamamış olabilirim) anlam yüklediğiniz ve farklı parametrelerle baktığınızı (EPS tanımı saniyedeki log miktarı olarak QRadar, ArcSight, McAfee, SureLog, LogRhythm gibi bütün SIEM üreticilerince ortak kullanılan bir parametre ) ve cevabınızı ilettiniz. Üretici linkine bakan ve sizin cevabınızı okuyan bir kullanıcı değerlendirme yapacaktır. Her halükarda faydalı olduğunu umuyorum.
— — — — — — — — — — — — — — — — — — — — — — — — — — -
Ertugrul bey,
Tekrar merhaba,
Hızlı donusunuz icin oncelikle tesekkur ederim. Zira bize göre yanlıs bilgileri paylasın ki yerine dogruları aktaralım ;
Bir onceki cevabımı dikkatlice okuduysanız , Turkiye’de AlienVault sistemine ilave moduller yazan ve cok kapsamlı destek veren bir distiden bahsettim. Akbilge Bilisim firması 4 yıldır AlienVault sistemini gelistirmek ve kazandıkları musterileri memnun tutmak icin ellerinden geleni yaptıklarını yazdım. Sanırım bu alanı kacırdınız. Sayet dediginiz / soylediginiz gibi sorunlu olan bir urun olsaydı , 4 yıldır AlienVault kullanan musterilerinde sorunlar yasanmaz mıydı ?. Benim gordugum kadarıyla AlienVault Turkiye de son derece basarılı. Yurtdısı belki satıs odaklı yanlıs bir yol izliyor ve buna baglı olarakta teknik sorunlar yasıyormus gibi gorunuyor olabilir ama Akbilge bilisim firması , AlienVault sistemini resmen Turkiye sartlarına gore uyarladı. Bu konuda en az sizin kadar usta bir isim olan sayın Akın SAGBILGE ile konusmanızı / yazısmanızı siddetle oneririm. Zira ciddi anlamda bir muhendislik yatırımı ve surekli artan bir musteri memnuniyetiyle yurtdısında %100 uyumlu oldugu GDPR desteği ve Turkiye de KVKK kapsamında bir çok firma AlienVault sistemini neden alsın , neden yıllarca kullansın ?.
İkinci olarak EPS hesaplaması konusuna gelecek olursak ; yıllarca bir cok firma, kullanıcılarını EPS denilen sınıra mahkum etti. Bunu istemeyerek hepimiz yasadık / gördük. Ancak AlienVault’u rakiplerinden ayıran en buyuk ozellik sadece EPS limiti olmaması / farklı hesaplanması degil , yine bir cok rakibin kazanc kapısı olarak gördüğü korelasyon kurallarıda aynı sekilde ucretsiz yayınlanmaktadır. Hafta da en az 1 defa otomatik korelasyon kuralı guncellemeside yine aynı sekilde sadece AlienVault’a ait bir ozelliktir.
Kısaca AlienVault icin ezber bozan tabirini kullanabiliriz. Ne EPS limiti nede korelasyon kuralları icin para almıyor. Bunun temelinde ise AlienVault’un acık kaynak kod ortamından turuyerek gelmesidir.
Son olarak AlienVault’a sadece SIEM demekte yanlıs / haksızlık olur. Urun icerisinde kendi zafiyet analizlerini yapabileceginiz openvas/nessus , network monitoring icin Nagios , asset managent, dünyanın en buyuk zero day DB’si OTX, duruma göre mudehale etmek icin marka bagımsız network / guvenlik ve isletim sistemlerine mudehale etme… vs… gibi saymakla bitmeyen urunleri içermektedir. AlienVault un hangi versiyonunu alırsanız alın bu ozellikler icerisinde default gelmektedir. Özellikle ISO27001 / 27002 , PCI-DSS, GDPR,…vs… sertifikalı raporlarıylada Turkiye de tum denetciler tarafından önerilen bir urun haline gelmistir.
AlienVault hakkında merak ettiginiz ya da yazıya dökmeden önce sormak istediginiz bir sey varsa bana nasıl ulasacagınızı biliyorsunuz.
Saygılarımla,
Kursat.
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — -
Merhaba Kürşat Bey,
Cevaplar teknik olmaktan ziyade biz çok satıyoruz şeklinde oluyor. Ben buna birşey demedim zaten. Ürünü üreten firmanın hazırladığı dokümandaki verileri aynen, birebir, değiştirme ve yorum katmadan paylaştım. Verdiğiniz cevaplar üretici ile örtüşmüyor. Benim verdiğim teknik dokümanları görmezden geliyorsuuz. Aşağıda bir önceki cevabımda da linkini vererek size hatırlattığım ve tekrar linki verdiğim
dökümanda üretici 1000 EPS i geçerse performans düşer diye resmi olarak açıklama yapıyor ve öyle sizin dediğini gibi biz EPS i farklı hesaplıyoruz veya bizim 1000 EPS imiz başkasının 20 000 EPS değeridir demiyor.
Ayrıca ürünün EPS ve korelasyon için ücret almaması o ürünün 1000 EPS değerinin muadillerinde 20 000 EPS olduğu anlamına gelmez. Bunun teknik açıklaması nerede?
Aynı şekilde korelasyon kurallarının ücretsiz olması da çok fazla birşey ifade etmez. Ben yine üreticinin kullanıcı kılavuzundan bir link paylaşayım korelasyon kısıtları ile ilgili.
Cross-Correlation can only run on (just) IPS and Vulnerability Scanner logs and the combining on just IP addresses. https://www.alienvault.com/documentation/resources/pdf/usm-appliance-user-guide.pdf (Sayfa 231–232)
Ürünün SIEM harici özellikleri ile ilgili bir yorum yapamayacağım. Uzmanlık alanım değil. Aşağıdaki postda da belirttipim gibi
sizden ricam üreticinin bizim 1000 EPS değerimiz hashtag#QRadar hashtag#ArcSight, hashtag#McAfee hashtag#logrhythm in 20 000 EPS ine eşittir dediği bir teknik dokümanı ve hesaplama yöntemini içeren bir doküman paylaşmanız. Zaten o zaman konu kapanmış olur.
Ertuğrul
— — — — — — — — — — — — — — — — — — — — — — — —
Merhaba Kürşat Bey,
Atlamış olmamak için eklemek istedim
“ AlienVault External DB -> ilgili modul , Akbilge bilisim programcıları ve yurtdısı teknik ekibin incelemesiyle / katkılarıyla gelistirilmis olup , patenti akbilgeye aittir. Bu modulun tek amacı ; Alien Diski belli bir kullanım oranına geldiginde tum logları external bir storage ‘a otomatik export etmesi ve istediginde ise alien icerisine geri tasınmasına olanak saglamasıdır.” diye ifade ettiğiniz kısmı ben de zaten
“Bu 200 milyon limiti aşmak için ek modül ve yöntemlerle (Ayrıca ek maliyet demek) bir miktar daha log toplama yapabilirsiniz ama son 2–3 yılı da tutmak için daha farklı lisanslara ihtiyacınız olacaktır. Ayrıca sorgulamak için de yine elastic temelli olan bu ek lisans gerektiren modülü kullanacaksınız ve yukarıda belirtilen elastic handikapları burada da geçerlidir. Diğer bir handikap ise eski loglar için ayrı bir ürün, ekran ve sorgu yöntemi, yeniler için de AlienVault arayüzünü kullanacak olmanızdır.”
Bu AlienVault da olmayıp da sizin eklediğiniz modülleri ücretli veriyorsunuz ve ben buna da atıf yapmışım
Selamlar
Ertuğrul
— — — — — — — — — — — — — —
Ertugrul bey,
Merhaba,
Yogun bir haftaya basladım yine ama yazdıklarınızı okuyunca , ustadımı cevapsız bırakamam dedim.
Biz elestic mantıgını kullanmıyoruz. Zaten bazı urunlerin piyasada birbirlerine cok benzerlik gostermelerinin sebebide bu . Elastic tabanını kullanan cogu yazılım musteri tarafında iyide aradaki fark ne dedirtiyor. AlienVault ‘un hic bir urune benzememesi burada da yine goze carpıyor.
Siz ya da sizin gibi yerli urun ureten firmaların AlienVault mimarisini anlamalarını beklemiyoruz. Dun aksam yazdıgım ilk cevap aslına bakacak olursanız son derece acıklayıcıydı ama sistemlere bakıs acınız belli bir noktada sabit oldugu icin alienvault mimarisini / mantıgını anlamanızı inanın beklemiyorum. Musterilerimizde DEMO/ POC yapılırken sistemin teknik ozelliklerini anlatmaktakdan ziyade gostermeyi tercih ediyoruz sebebiyse diger urunlerin hepsinin mantıgının aynı olmasıdır.
Aradaki farkları gosterdikce ya da aynı an da bir cok urunun demosunu yapan buyuk kurumlarda aynı logu aynı anda arattıgımızda , bulup ekrana cıkarma surelerini kendilerinin birebir gormelerini saglıyoruz. Bir cok urun aranan logu bulamazken AlienVault ilgili logu bulup ekrana getirebilmektedir.
Bana cevap olarak ilettiginiz satırları okuyunca , anlamakta gucluk cekilen noktanın şu oldugunu goruyorum ; her log yazılımı ,bilinen ve herkes tarafından kullanılan alt yapıyı kullanacak diye bir durum yok. AlienVault da zaten bunu yapıyor. Tekrar ediyorum “ AlienVault ezber bozan “ olarak tanındı tum dunyada.
Bunların hesaplamaları / aritmetigini size dun ilk cevabımda fazla detaya girmeden yazdım. Bizde ki EPS hesabı nedir, nasıl hesaplanır. Bunun daha acıklayıcı cevabı aslında olamaz. En azından bize göre bunun sekli bu. Bu cevabı anlamanız durumunda AlienVault’u da cozdunuz demektir.
Sizden ricam, alışıla gelmiş, bazı noktalarda da rakibimiz bile olamayan urunleri AlienVault ile kıyaslamayın. Bu durumda AlienVault mantıgını anlayamazsınız. Dilerseniz , buyrun gelin, uygun bir zamanda sizlere cizerek / anlatarak ürün üzerinde gosterelim. Belki yazılımlarınıza AlienVault mantıgını baz alarak yön verirsiniz. Bu satırımı lutfen yanlıs anlamayın , tam tersine amacım sizi dogru bilgilendirmektir.
İyi haftalar dilerim.
Saygılarımla,
Kursat.
— — — — — — — — — — — — — — — — — — — — — — — — — — — —
Merhaba Kürşat Bey,
Orjinal makalemde referans verdiğim linkler de dahil olmak üzere hiçbir üretici dokümanına cevap vermediniz. Hatta kendi iddianız olan bizim 1000 EPS imiz muadillerinin 20 000 EPS ine eşittir i de daha sonra 4 defa sormama rağmen gözden geliyorsunuz.
Aynı soruları linkedin de de size sordum ve referansları ile postunuzu bekliyorum.
Aşağıda size sorduğum soruların AlienVault daki yanıtıları
Cross-Correlation can only run on (just) IPS and Vulnerability Scanner logs and the combining on just IP addresses. https://www.alienvault.com/documentation/resources/pdf/usm-appliance-user-guide.pdf (Sayfa 231–232)
Ayrıca ek lisans gerektiren, ilk satışta da genelde müşterinin bilmediği ek modül için biz elastic kullanmıyoruz demişsiniz. o kısmı da düzelttim bilginize.
Selamlar
Ertuğrul
