SIEM Seçme Süreçlerindeki Aksaklıklar ve Son Kullanıcının Durumu

Daha önce birçok kez de yazdım [1]. Son kullanıcı doğru soruları sormadığı sürece doğru SIEM ürününü etrafına sorarak, tanıdıklarına danışarak veya en meşhur, reklamı en bol ürünü alarak seçemez. SIEM tarafında talebin son kullanıcıdan gelmesi lazım. Müşteri beklentisi gelişmedikçe üreticilerin, tedarikçilerin nasıl rekabet ettiğinin de gelişmesini beklemek gerçekçi değil. SIEM tarafında müşterinin teknik olarak yeterince bilgi ve tecrübe sahibi olmamasını suiistimal ederek, teknikten uzak tutarak satış ve proje yapmak yolu tercih edilebiliyor.

Yapılan teknik yorumları görmezden gelerek, yazılan teknik makaleleri görmezden gelerek ben satışıma bakarım yolunu tutmak SIEM projelerini çöp yapıyor [2,3,4] . Başta dediğim gibi talebin son kullanıcıdan gelmemesi de SIEM projelerini çöp yapıyor. Son kullanıcı proje ve ürünü değerlendirmek için doğru teknik ve teknolojik soruları sorabilmeli. Ortadoğu coğrafyasında kim kullanıyor? Doğru ve yeterli bir soru değil. Bu soruları bilmiyor veya soramıyorsa bu konuda yanılabileceğinin hatta kandırılabileceğinin farkında olmalı. Dolayısı ile sadece satmaya çalışan ve bunun için her türlü yöntemi mubah kabul eden bir piyasa oluşuyor.

Zaman zaman linkedin, medium gibi platformlarda bankaya, çok büyük holdinge, vb.. destek veriyoruz şu ürünü, bu ürünü kullanıyoruz, bu paylaştığınız senaryo çok kolay, bu özellik free versiyon ile bile yapılabilir deyip de ben üretici dokümanını paylaşınca siz haklıymışsınız diye dönen çokça durumla karşılaşıyorum. Yine benzer şekilde üreticilerin belirttiği sınır ve kabiliyeleri referans olarak kullanmayan [5] projelerle de karşılaşıyoruz.

Bilgi paylaştıkça artar, yeni başlayanlara yol göstereyim ve SIEM öğrenmek isteyenlere faydam olsun maksadı ile çokça teknik makale paylaştım[6], zaman zaman da SIEM ürünlerini değişik parametreler ve teknolojiler açısından karşılaştırıyorum [7,8]. Bu makalelerdeki parametrelerin neredeyse tamamına yakını proje ekibi, entegratör, satış ekibi ve son kullanıcı tarafından çoğu zaman göz ardı ediliyor. Peki son kullanıcı neden fark etmiyor?

Zaman zaman proje yapılırken soru işareti olabilecek veya açık olmayan alanları soruyorum [9], %99 bunlara herhangi bir entegratör, çözüm ortağı veya üretici cevap vermiyor. Bu da beni SIEM projelerinde teknikten uzak tutarak satış ve proje yapmak yolu tercih edilebiliyor fikrine sürüklüyor.

Nadir de olsa sahada zaman zaman gördüğüm durumlardan biri de son kullanıcı araştırma yaparak veya diğer üreticilerin ilgili dokümanlarına ulaşarak elde ettiği bilgileri karşılaştırma amaçlı sorabilse bile özellikle korelasyon kuralı veya senaryo tarafında dönen cevaplar profesyonelce ve derin bir bilgi birikimi ile irdelenemezse anlaşılamayacak şekilde yanıltıcı olarak bu korelasyon kuralı, senaryo ve özelliği desteklediği şeklinde olabiliyor [10]. Ama doğru irdelenirse yine SIEM tarafında müşterinin teknik olarak yeterince bilgi ve tecrübe sahibi olmamasını suiistimal etmeye yönelik ve olmayan yetenek ve özellikler var olarak beyan etmeye dayandığı anlaşılabiliyor. Burada son kullanıcının SIEM konusunda derinleşmekten veya bilgi birikimine güvendiği teknik birinden fikir almaktan başka çaresi yok.

SIEM demek senaryo demek ve senaryo farklarını birbirinden ayırabilmek seçilen ürünü SIEM olarak kullanabilmek için gerçekten kritik bir süreç [11,12]. Son kullanıcı bu detayı analiz edemese bile en temel soruları sorabilmeli [13].

Peki son kullanıcı neden fark etmiyor? Sanırım bu sorunun cevabı şu: SIEM tarafında müşterinin teknik olarak yeterince bilgi ve tecrübe sahibi olmamasını suiistimal ederek, teknikten uzak tutarak satış ve proje yapmak yolu tercih edilebiliyor.

Referanslar

1. https://www.linkedin.com/posts/ertugrul-a-2b365813_siem-siem-siem-activity-6622244099254689792-bnUu
2. https://medium.com/@eakbas/t%C3%BCrkiyede-siem-projeleri-neden-i%CC%87stenilen-fayday%C4%B1-sa%C4%9Flayamad%C4%B1-neden-12b6dd45a8ea
3. https://medium.com/@eakbas/siem-f772e4dc7fdc
4. https://www.isaca-istanbul.org/1678-2/?lang=en
5. https://www.linkedin.com/feed/update/urn:li:activity:6623699920505319425/
6. https://www.linkedin.com/posts/ertugrul-a-2b365813_siem-bilgipaylaagntaftkaexogalaftr-aescretsizkaynak-activity-6622094940149174272-31oy/
7. https://medium.com/@eakbas/surelog-qradar-arcsight-splunk-mcafee-logsign-cryptosim-alienvault-siem-389bd822b602
8. https://medium.com/@eakbas/wazuh-yelp-elastalert-graylog-security-onion-siemonster-korelasyon-ozellikleri-ile-surelog-fark-f078011dc9f8
9. https://www.linkedin.com/posts/ertugrul-a-2b365813_siem-eps-mcafee-activity-6613756770324107264-fYVW
10. https://www.linkedin.com/pulse/siem-senaryolarinin-farklari-nasil-anla%C5%9Filir-ertugrul-akbas/
11. https://medium.com/@eakbas/surelog-siem-korelasyon-kural%C4%B1-geli%C5%9Ftirme-%C3%B6rnek-%C3%A7al%C4%B1%C5%9Fmas%C4%B1-1-2f0e8f03a00
12. https://medium.com/@eakbas/neden-her-siem-ayni-siem-degil-1022268b7527
13. https://medium.com/@eakbas/siem-101-%C3%BCr%C3%BCn-se%C3%A7erken-sorulacak-temel-sorular-ae6b43360884