SIEM Projeleri ve Aklımdaki Sorular

SIEM çözümü uygulamak bir projedir. Dolayısı ile her SIEM aynı SIEM olmadığı gibi her proje ekibi de aynı proje ekibi değildir.

Mesela

Bir kullanıcı saatte 3 defa şifre değiştirirse bunu 3. şifreyi değiştirdiği anda tespit

ile

Bir kullanıcı ayda 3 defa şifre değiştirirse bunu 3. şifreyi değiştirdiği anda tespit et

arasında fark var mıdır?

Bu farkı projede ortaya koyacak bilgi birikimi ve zekaya sahip bir uygulama ekibinin projede olup olmaması ne fark ettir?

Bu soruları soramayacak ekiple proje yapılırsa ne olur? KVKK açısından bu soruların farkı var mıdır? Sorsa ne fark eder?

“Network üzerinden yer alan bir cihaza 15 den fazla başarısızı login işlemi yapılırsa alarm üret “

günümüz dünyasında ne kadar geçerlidir? Neden?

Yukarıdaki kural ile

Başarısız oturum sayıları akşam saat 10:00 ile sabah 08:00 e kadar mesai saati içindekine göre önemli değişiklik gösteriyorsa (artış) uyar

arasındaki fark nedir? Bu farkı bilen bir ekip neyi ifade eder? Bilmese ne fark eder? Bunu bilen ekip olsa bile bunu bulacak SIEM var mı? Olmaza ne fark eder?

Salı günü HTTP/DNS oranı son dört haftalık tüm kullanıcıların % 95'nin HTTP/DNS oranın %300 üzerinde olan bir durum var mı tespit et

Desek ne olur? Demesek ne olur? Demesek ve bize bu kural lazım değil zaten deyip geçsek ne kaybeder? Ne kazanırız?

Bir prosess çalıştırıldıktan sonra 5 dakika içerisinde aynı makinede erişilen aynı dosyalar 20 dakika içerisinde 1 den fazla makinede aynı process ve aynı dosya şeklinde ve aynı zaman dilimlerinde (process sonra 5 dakika içinde dosya gibi) gözleniyorsa uyar.

Bugüne kadar dinlediğimiz hiçbir SIEM ekibinden duymadığımız bir senaryo. İyi de ne olmuş. Ama bizim ekip çok proje yapmış. Zaten ne işime yarayacak ki? Ben logları biriktirsem, raporlasam, bir iki de email alsam yetmez mi?