İyi Bir SIEM Seçmek İçin Soru Listesi

Geçmişte zaman zaman SIEM seçimi ile ilgili soru listesi yayınlamıştım. Geçen süre içerisinde soruların çok daha kompakt ve yönetici seviyesinde değerlendirilebilir olmasının gerekliliğini gün geçtikçe iliklerime kadar hissediyorum. Bunun gerekliliğini hem görüyorum hem de yapılan mutsuz proje anketleri de teyit ediyor. Öncelikle bu seri seti üzerinde neden durduğumu anlatmak adına anket sonuçlarını yayınlayayım.

Durum bu iken soru setini daha kompakt hale getirmeye çalıştım.

Sorular:

• Kaç kaynak eklediniz? Sizce hesaplanan, hesapladığınız veya size söylenen EPS değerleri aşağıdaki referans tabloya göre mantıklı mı?

https://apps.es.vt.edu/confluence/download/attachments/460849213/sans%20siem%20benchmarking.pdf

Aynı tablo Gartner’da lider olan Exabeam tarafından da referans olarak kullanılıyor

https://www.exabeam.com/explainers/siem/siem-architecture/

• Eğer EPS değeri doğru ise bunun için istenen altyapı (makine adedi, Cpu, Ram, Disk) makul mu?

Bu soruya cevap ararken referans olması açısından IBM Qradar Community Edition değerleri kullanılabilir. 50 EPS Qradar için IBM aşağıdaki öneriyi yapıyor.

https://www.ibm.com/community/qradar/ce/

• Ne kadar süre log toplayacaksınız, ne kadar süredir log biriktireceksiniz? Bunun için canlı log disk miktarı ve arşiv log disk miktarları olarak ne belirlediniz?
• İstediğiniz veya beklediğiniz 1 günlük sorgu hızınız nedir, 1 haftalık nedir, 1 aylık nedir, 6 aylık nedir, 12 aylık nedir? Canlı (İndeksli) tutmak için ayıracağınız disk miktarı ve disk hızı nedir?
• Kaç korelasyon kuralı açmayı planlıyorsunuz? Gelişmiş korelasyon beklentiniz var ?
• Kurulum ve korelasyonların ayarlanması da dahil projenin bitmesi için beklediğiniz süre nedir?