SIEM Ama Ne Kadar?
SIEM çözümleri ülkemizde kanunlar, yönetmelikler ve denetimlerde sorulduğu için kullanılan bir yaklaşımla uygulanmakta.
Kanunlar, yönetmelikler ve denetimler için kullanalım ama neden daha etkili kullanmayalım?
Yapılan projelerin çoğunda bir memnuniyetsizlik mevcut. En ünlü ve global ürünlerle yapılan projelerin çoğunda bile istenen memnuniyet yakalanamadığı gibi, yerli olan ürünlerin kulaktan kulağa dolaşan iade senaryoları, hatta kamu da iade mahkemeleri de herkesçe bilinmese de araştıranların bildiği memnuniyetsizliklerden bazıları.
SIEM in etkin kullanımı için son kullanıcının soru sorması ve talepte bulunması gerekir [1]. Türkiye’de yapılan projelerde ise son kullanıcı “hele sen anlat ben karar veririm” modunda ilerliyor.
Dolayısı ile en basit 5 dakikada 5 defa başarısız oturum açarsa uyar tarzı kurallar ile aynı anda aynı kullanıcı hem başarılı hem de başarısız oturum açarsa uyar arasındaki farkı SIEM teknolojilerinin detaylarını (korelasyonu nasıl yapıyor ?) bilmediği için projeler 5 dakikada 5 defa tarzı kurallardan öteye geçemiyor.
Google da SIEM korelasyon kuralları diye Türkçe ara yaptığınızda önünüze hep 10 yıldır kullanılan yukarıda belirttiğim tarzda kuralların geldiğini göreceksiniz.
“Herhangi bir kullanıcı , herhangi bir processi dahil olduğu grubun kullanıcılarına göre anormal kullanıyorsa uyar”
tarzı tespitlerin bahsi bile geçmiyor. Satan ve uygulayan ekiplerin bu tarz senaryolara uzak olması da SIEM projelerinin çöp olması için sebeplerden biri.
Kimse ayranım ekşi demediği için de proje o safhada donup kalıyor. Ondan sonra da SIEM projeleri çöp oluyor [2]
Sanırım bu sadece SIEM e has bir problem değil. Son kullanıcı uzmanlığı gerektiren bütün projeler için geçerli.
Referanslar
