Doğru SIEM Nasıl Seçilir?

Doğru bir SIEM seçmek için öncelikle ihtiyaçları doğru belirlemek gerekir. Daha sonra bu ihtiyaçlarla en iyi örtüşen SIEM ürününü seçmek en doğal seçim yöntemidir. Ben bütün ihtiyaçlar için ortak olan en temel 5 seçim kriterlerini listeleyeceğim.

Temel Kriterler:

1. Log kaçırıp kaçırmaması
2. Canlı logu uzun süre tutmak için ihtiyaç duyulan disk miktarının azlığı/çokluğu
3. Arşiv yönetiminin kolaylığı/zorluğu
4. Logları son kullanıcının anlayacağı şekilde tercüme etmesi (Taxonomy)
5. Korelasyon

Log Kaçırıp Kaçırmama

Aşağıdaki makalede bu testleri nasıl yapabileceğiniz detayları mevcut

Canlı Logu Uzun Süre Tutmak İçin İhtiyaç Duyulan Disk Miktarının Azlığı/Çokluğu

Aşağıdaki canlı logların önemi değinen makalelerin linkleri mevcut.

https://drertugrulakbas.medium.com/surelog-qradar-arcsight-splunk-mcafee-logsign-cryptosim-alienvault-siem-389bd822b602

https://drertugrulakbas.medium.com/siem-ve-loglar%C4%B1-%C3%A7ok-uzun-s%C3%BCre-canl%C4%B1da-tutman%C4%B1n-kritikli%C4%9Fi-sahadan-tecr%C3%BCbeler-e92c06588c77

https://drertugrulakbas.medium.com/loglar%C4%B1n-ar%C5%9Fivden-d%C3%B6n%C3%BClmesi-mi-a82182741efd

https://drertugrulakbas.medium.com/siem-%C3%BCr%C3%BCnlerinde-ar%C5%9Fiv-log-kapasitesini-canl%C4%B1-log-olarak-alg%C4%B1lamak-9033c84a311c

SIEM İçin Canlıda Log Tutma ve Aramanın Önemi

Arşiv Yönetiminin Kolaylığı/Zorluğu

Arşiv yönetimi konusunun detayları:

Logların Arşivden Dönülmesi mi?

Logları Son Kullanıcının Anlayacağı Şekilde Tercüme Etmesi (Taxonomy)

Taxonomy ile ilgili detaylar:

Taxonomy Makes Raw Data Human Understandable

Korelasyon

Korelasyon detayları:

SIEM Korelasyon Nedir? Neden Altın Değerindedir?