SIEM Çözümlerini Değerlendirirken Bakılacak En Önemli Parametre Korelasyon Yeteneğidir

3 min readJan 21, 2020

Bir SIEM çözümünün değerinin %80 i korelasyon yeteneğinden gelir. Ama neredeyse SIEM projelerinin tamamında korelasyon yeteneği SIEM in alarm üretmesi veya değişik aksiyonlar olması olarak basite indirgeniyor. Bu basite indirgemenin pek çok sebebi var [1]. En temel sebep satanın, yapanın ve alanın derine inememesi. Bu durumu KVK kurumunun veri ihlali bildirimlerinde [2] veya globalde de GDPR veri ihlali bildirimlerinde görebilirsiniz. Hatta en sonunda KVK Kurumu bir kuruma yazdığı kuralın yeterli olmadığını söyledi [3].

Ülkemizde SIEM projeleri KVKK için lazım, ISO27001 için lazım, PCI denetimi için lazım ve benzeri denetimlerde soruyorlardan öteye geçemediği için son kullanıcı derinlemesine analiz ve karşılaştırma ihtiyacı duymuyor. Son kullanıcı ihtiyacını doğru anlatabilecek en az 1 kişi; çözüm ortağında da gerçekten katma değer sağlayıp firmanın hem ihtiyacını karşılamak için çırpınan ve üstüne ne koyabilirim daha düşünen post, pre-sales ve teknik adamlar olmazsa eğer ortaya bu çıkıyor ve bundan öteye geçilemiyor.

Türkiye’de musibet based security çalışıyor. Yani önce başına gelecek sonra akıllanacaksın. Ama SIEM yatırımı pahalı bir yatırım olduğu için başa musibet gelse ve daha önce seçilen SIEM ürünü yetersiz olsa bile yüksek bütçe daha önceki ürüne harcandığı için bu SIEM ürünü değiştirilemiyor.

Her SIEM aynı SIEM değildir diye onun için uzunca zamandır yazıyorum [4]

Bir SIEM in korelasyon yeteneklerini teknik olarak değerlendirmek için yüzlerce parametreye bakabilmek lazım [5]. Bu bakma işlemini gerçekten profesyonelce yapabilmek önemli aksi durumda bilgi eksikliği, tecrübesizlik ve müşterinin teknik olarak yeterince bilgi ve tecrübe sahibi olmamasının suiistimal edilmesi sonucunda her SIEM her şeyi yapabilir olarak müşterinin karşısına çıkıyor.

Örnek vermek gerekirse: SIEM çözümleri liste kullanabiliyor mu diye sorulsa bütün üreticiler kullanıyor diye cevap verebilir. Ama soruyu

Listeye sadece ekleme mi yapabiliyor? Başka operatörü destekliyor mu? Mesela:

Listeleri birleştirebiliyor mu?
Listeleri birbirinden çıkarabiliyor mu?
Listeleri karşılaştırabiliyor mu?
Listedeki veriler üzerinde regex, küçük harfe göre arama, büyük harfe göre arama, parçalı arama, regex arama vb.. yapabiliyor mu?

Peki, aslında bu özelliği olmayan bir ürünün satıcısı evet dese son kullanıcı bunu anlayabilir mi? [6].

Gerçekten liste özelliğini derinlemesine kullanmak istersek daha da derinlemesine inmek mümkün. Mesela “2,3,4,5 boyutlu listeler kullanabiliyor mu” diye sorulsa buna gerçekten evet cevap verecek ürün sayısı 4 adettir. Peki, aslında bu özelliği olmayan bir ürünün satıcısı evet dese son kullanıcı bunu anlayabilir mi? [6].

Aynen yukarıdaki gibi, detay ve detayın da detayı olabiliyor. Peki, bunu nasıl bilebiliriz. Cevabı bu yazıda [7].

Bu parametreler senaryoları ve senaryoların verimini etkileyen en temel parametrelerdir. [8].

Bütün bu değerlendirmelerin yapılabilmesi için derinlemesine korelasyon bilen ve analiz yapabilen bir ekip lazım. Böyle bir bilgi birikimi ekipte olmayınca SIEM ürünü bütün teknik özelliklere sahip olsa bile satan, alan, uygulayan bilmediği için bu özellikler kullanılamıyor.

ANET Yazılım [9] olarak dünyadaki bütün SIEM, çoğu UEBA ve en bilinen Network behavior anomaly detection (NBAD) ürünlerinin use case leri üzerinde yapılmış analiz çalışmamız mevcut. Ayrıca aynı ekip tarafından bu senaryolar uygulanabilir halde düzenlendi ve bir know-how çalışması ile hem senaryo, hem de bu senaryoları destekleyen korelasyom ve modelleri değerlendirildi. Ayrıca bu senaryo ve modellerin çoğunu herhangi bir projede uygulanabilmesi için hazır edildi.

Referanslar

SIEM Çözümlerini Değerlendirirken Bakılacak En Önemli Parametre Korelasyon Yeteneğidir

Written by Ertugrul Akbas

No responses yet