SIEM 101 — Ürün Seçerken Sorulacak Temel Sorular

Bir SIEM ürünü seçerken yapılacak en önemli şey korelasyon ve tehdit avcılığı özelliklerini karşılaştırmaktır. Bununla birlikte bu özelliklerin son kullanıcı tarafında değerlendirmesi için belli bir bilgi gerekir aynı zamanda zaman ve enerji harcanmalıdır.

Türkiye de yapılan SIEM projelerine bakarak insanların daha korelasyon ve tehdit avcılığı kısmına geçmeden sormaları gereken soruları sormadığı gözükmektedir. Bir ürünü alırken sorulması gereken en temel 4 soru:

1. Ne kadar log saklayabiliyor? Ben TB larca disk versem geriye doğru canlıda 2 yılı sorgulayabilir miyim? [1].
2. Kaç EPS e kadar destekler? Bunun için entegratör veya satıcının söyledikleri değil de üretici dokümanlarının ne söylediğini referans almak lazım. Bunu üretici dokümanından kontrol edin [2].
3. Sistem 5000 EPS civarına erişince bir kararlılık sorunu var mı?
4. Sistemin 5000 EPS ve ötesinde logları bazı modüllerde gösterip, raporlarda gösterememe ve korelasyona sokamama gibi sorunları var mı?

Bu teknik soruların dışında bir de proje maaliyetleri noktasında sorulması gereken kritik soru var:

5. İkinci, üçüncü ve sonraki seneler güncelleme ve destek bedelleri ne kadar?Buradaki kritik nokta da üreticiler ilk sene çok yüksek indirim uygulayıp sonraki seneler destek ve güncelleme bedelini liste fiyatı üzerinden yapabiliyor. Dolayısı ile destek oranını (%25 i gibi) değil de destek bedelini 500 USD gibi öğrenin.

Bu sorular aşıldıktan sonra ise işin teknolojisi boyutunda korelasyon ve tehdit avcılığı özellikleri karşılaştırılmalı.

Referanslar

1. https://medium.com/@eakbas/kvkk-projeleri-i%CC%87%C3%A7in-siem-i%CC%87pu%C3%A7lar%C4%B1-2-cf6184c2cd3d
2. https://medium.com/@eakbas/yeni-bir-dokuz-k%C3%B6yden-kavulma-hikayesi-kvkk-ve-siem-448c6b847dcc