SIEM Projesi Yaparken Sorulması Gereken Sorular
SIEM seçiminiz ile ilgili en temel sorular. Logları topladığınızı varsayıyorum, yoksa SIEM den bahsedilemez.
1- Loglara erişimle ilgili aşağıdaki senaryoların hepsine cevap verebiliyor musunuz?
2-Eğer SOC veya Yönetilen SIEM (Managed SIEM) hizmeti alıyorsanız aşağıdaki senaryoların hepsine onay verebiliyor musunuz?
3- SOC veya Yönetilen SIEM (Managed SIEM) hizmeti aldığınız/alacağınız firma kafa sayısı ile mi, kalitesi ile mi sizi ikna etmeye çalışıyor? Eğer kalabalıktan dem vuruyorsa aşağıdaki videoyu izlemenizi öneririm
4- Eğer SOC veya Yönetilen SIEM (Managed SIEM) hizmeti aldığınız/alacağınız firma ile ilgili internette aradığınızda SIEM konusunda kendisinin ürettiği, oradan buradan copy&paste ötesine geçen, bu konuda bilgi ve tecrübesini ispat eden, rakiplerinin de dem vurmadığı (Benzer özellik ve dokümanları rakiplerinde de bulamayacağınız), rakiplerinin de bahsetmediği konularda makalelerine denk geliyor musunuz?
5- Seçeceğiniz SIEM ile ilgili internette arama yaptığınızda herhangi bir konuda dünyada en iyi olduğunu göğsünü gere gere ilan ediyor mu? Rakiplerinin yapamadığı senaryo ve özellikleri göğsünü gere gere internet ortamında, sosyal medyada vs. ilan ediyor mu? Örnek:
- Dünyada en az disk ile en uzun süre logu canlıda biz tutarız
- Korelasyonda en iyi biziz
“X olayından Y zamanda Z kadar olursa”
“Aynı X tarafından önce A sonra B olayı olursa” gibi senaryolar haricinde de senaryolar vardır ve bu konuda dünyada en iyi biziz. Senaryolara birkaç örnek. Bu örneklerin hepsini birden dünyada sadece bizim SIEM çözümümüz ile tespit edebilirsiniz.
- 30 günden uzun zamandır kullanılmayan hesapları tespit et, sil, kilitle
- Son 30 gündür kullanılmayan standart proxy target portları harici bir port yeniden kullanılmaya başlamışsa ve bu port 1024 portundan büyük bir portsa birden fazla farklı dst ip adresine 5 dk içerisinde requestMethod=POST olacak şekilde çoklu istek yapıyorsa tespit et.
- 15 gündür hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den fazla Workstation da Remote interactive logon olmuşsa uyar.
- Aynı anda aynı kullanıcı sunuculardan birinde oturum açarken, veri tabanında da da oturum açarsa uyar.
diyebiliyor mu? Yoksa hep 1–1 de size bir şeyler mi fısıldıyor ama bunu göğsünü gere gere internet ortamında, sosyal medyada vs. ilan edemiyor mu?
6- Seçeceğiniz SIEM üreticisi firma ile ilgili internette arama yaptığınızda bulduğunuz dokümanlar akademik seviyede mi ? Yoksa satış (sales),satış öncesi (pre-sales) ve pazarlama (marketing) dokümanı seviyesinde mi?
7- SIEM üretici firmanın SIEM ile ilgili akademik yayınları var mı?
8-SIEM üretici firmanın SIEM ile ilgili akademik yayınları olmamasına rağmen personelinin master veya doktora çalışması yaptığı sırada yaptığı ve kıyısından köşesinden ilişkilendirebileceği çalışmaları kendi AR-GE çalışması diye sunmaya çalışıyor mu? Mesela bu personellerin yapay zeka (AI) ile ilgili yaptığı çalışmaları kendi AR-GE çalışması olarak sunmaya çalışıyor mu? Yapay zeka gıdadan uzaya her alanda kullanılan bir teknoloji dolayısı ile SIEM ile ilgili hangi senaryoları veya hangi noktaları çözdüğü , iyileştirdiği belirtilmeden ortaya karışık olarak bırakılıp kafa karışıklığında istifade ile işte bu da bizim AR-GE çalışmamız dememesi lazım. Bu firmanın samimiyet ve etik değerlerini ölçmeniz açısından da önemli.
8- Seçeceğiniz SIEM i yerli rakipleri ile kıyasladınız mı?
9- Seçeceğiniz SIEM i yabancı rakipleri ile kıyasladınız mı?
10- Seçeceğiniz ürün yerli ise global referansları var mı? Bu referanslar Çad, Nijerya gibi ülkeler mi? yoksa Hong-Kong, Meksika, Hindistan, Avrupa, Amerika gibi ülkeler mi?
11- Seçeceğiniz SIEM ürünü önünüze değişik ödülleri koyuyorsa bu ödüller para ile satın alınabilen ödüller mi? Neden bu ödülü verdiğini gösteren bir detay rapor da yayınlıyor mu?
12- Eğer logları buluta gönderecekseniz aşağıdaki riskleri değerlendirdiniz mi?
13- Seçeceğiniz ürün açık kaynak ürün veya bileşen kullanıyorsa olası lisans değişiklikleri veya olan lisans değişiklikleri ile lisansı gri alan düşmüş mü?
