SIEM Senaryolarını Test Etmek veya Etmemek!

2,5–3 aydır bir senaryo paylaşıyorum. Bu senaryo SIEM ürünlerinin korelasyon yeteneklerini değerlendirmek ve sınamak için basit ve çok etkili bir senaryo. Bu senaryoyu SureLog SIEM kütüphanesinden aldım.

Senaryo şu:

“Bir kullanıcı arada hiç başarılı oturum açmadan 5 dakikada 3 tane oturum açma denesi yapıyor ve başarısız oluyorsa uyar”.

SIEM senaryolarını test etmekle ilgili 2 farklı kurumdan gelen bilgileri paylaşarak test sürecinde son kullanıcı olarak nelerle karşılaşılabileceğini vurgulamak istiyorum.

İlk tecrübe bir yerli SIEM ürününün en büyük referansı olan ve ortalama 8000 EPS ve maksimumda da 20 000 EPS olarak 2 yıldır bu yerli SIEM ürününü kullanan bir kurumda bu senaryoyu test etmek isteyince SIEM üreticisine bu senaryoyu yazıp gönderir misiniz diye soruyorlar. Yerli SIEM üreticisi yazdık diye dönüyor. Kurum test ediyor ve kuralın doğru yazılmadığını tespit edip SIEM üreticisine dönüyor ve 2,5 aydır SIEM üreticisinden dönüş yok.

İkinci bilgi SureLog SIEM ile diğer bir yerli SIEM üreticisinin PoC çalışmasından. SIEM projesi yapmak isteyen firmaya SureLog senaryoyu yazdıktan sonra firma diğer SIEM üreticisine dönüp aynı senaryoyu yazmasını istiyor. Diğer SIEM üreticisi yazdık diye dönüyor ve bir de ekran görüntüsü paylaşıyor. Firma benim de yardımımla test yapınca gönderilen kural ile istenen kuralın birbiri ile hiç alakası olmadığı ortaya çıkıyor. Ve bana “Hocam sen olmasa idin biz gerçek testi yapamaz ve bu da yapıyormuş der geçerdik” dedi.

Farkı görmek, senaryoları anlamlandırmak velhasılı senaryo test etmek isteyenlere yardımcı olabilirim.