Basit ve Olmazsa Olmaz İki SIEM Tavsiyesi
Konuya doğrudan gireyim. KVKK, GDPR açısından önemli yani kişisel veri içeren bir dosya uçmuş ve siz bunu sonradan fark ediyorsunuz. İster denetime geldiklerini düşünün, ister de şirketin iş akışı veya işleyiş açısından lazım olduğunu düşünün ve bu dosyayı kimin sildiğini bulmak istiyorsunuz. İşte bu gibi sık yaşanmayan ama hayati öne taşıyan durumlarda hızlı sonuç almak için (tersi olan yavaş duruma göre günler, haftalar ve hatta aylar alabilir) logları canlıda tutmalısınız. Yani birinci tavsiyem logları uzun süre canlıda tutmanız. Logları mesela iki yıl canlıda tutsanız muhteşem olur ve sizin çok işinize yarar. Eğe iki yıl çok IBM ile 300 gün civarı rakamlar veriyor derseniz hadi o kadar tutun derim. Ama Sizin rahatınız, güvende hissetmeniz ve lazım olduğunda sıkıntı, stres, acaba yaşamamanız için tavsiyem canlıda uzun tutun.
Aşağıda sahada gördüğüm ihtiyaçlardan derlediğim bazı senaryolara yer verdiğim makaleyi bulabilirsiniz.
İkinci tavsiyem de korelasyonla ilgili. İşten ayrılan bir çalışanın hesabını silmeyi unuttuğunuz bir durumda 90 gün sonra bu hesabı ağınızda işlem yaparken otomatik olarak farkına varamaz ve farkına varamadığınızı bile atı alan Üsküdar’ı geçince fark ederseniz size maliyeti çok yüksek olabilir. Bunun gibi binlerce senaryo ve sizin için kritik olabilecek yüzlerce senaryonun olduğunu aklınızdan çıkarmayın. Aşağıda korelasyonla ilgili SIEM Korelasyon Pramidi makalesine bakabilirsiniz.
