SIEM Use Case -Korelasyon Yeteneği Analizi Örnek Çalışması -1
Her SIEM aynı SIEM değildir. Bir SIEM çözümünün değerinin %80 i korelasyon yeteneğinden gelir.
SIEM ürünlerinin korelasyon yetenekleri arasında çok ciddi farklar vardır. Eğer son kullanıcı olarak bu değerlendirmeyi yapacak teknik bilgiye sahip değilsek veya çözüm ortağında da gerçekten katma değer sağlayıp firmanın hem ihtiyacını karşılamak için çırpınan ve üstüne ne koyabilirim daha düşünen post-sales, pre-sales ve teknik adamlar olmazsa bu farkı ortaya çıkarmak mümkün olmuyor.
Örnek bir analiz:
Bütün SIEM lerde benzeri veya aynısı bulunan çok temel, basit ama kullanışlı senaryolaran biri aşağıdaki senaryodur.
Aynı kullanıcı 10 dakika içerisinde aynı makinaya 3 defa başarısız oturum denerse uyar
Eğer olaya yüzeysel bakıyor veya detaya inemiyorsak bu senaryoyu daha derinlemesine analiz etmek aklımıza bile gelmez. Ama bu senaryo eğer doğru kurgulanmaz ise false/pozitife açıktır [1].
Benzer şekilde senaryoları tasarlarken korelasyon motoru tarafında yüzlerce özelliğe ihtiyaç duyarız[2]. Örnek olarak bunlardan birisi “liste” lerin kullanılması. Eğer olaya yüzeysel bakıyor veya detaya inemiyorsak bütün üreticiler kullanıyor diye cevap verebilir. Ama soruyu
Listeye sadece ekleme mi yapabiliyor? Başka operatörü destekliyor mu? Mesela :
- Listeleri birleştirebiliyor mu?
- Listeleri birbirinden çıkarabiliyor mu?
- Listeleri karşılaştırabiliyor mu?
- Listedeki veriler üzerinde regex, küçük harfe göre arama, büyük harfe göre arama, parçalı arama, regex arama vb.. yapabiliyor mu?
diye sormayı akıl edebiliyor muyuz? Son kullanıcı olarak akıl edemiyorsak bize bu aklı verecek bir çözüm ortağımız var mı?
Peki, aslında bu özelliğe sahip olmayan bir ürünün satıcısı evet dese son kullanıcı olarak bunu anlayabilir miyiz? [3]
Gerçekten liste özelliğini derinlemesine kullanmak istersek daha da irdelemek mümkün. Mesela “2,3,4,5 boyutlu listeler kullanabiliyor mu” diye sorulsa buna gerçekten evet cevap verecek ürün sayısı 4 adettir. Peki, aslında bu özelliği olmayan bir ürünün satıcısı evet dese son kullanıcı olarak bunu anlayabilir miyiz? [3].
“Hiç bilenle bilmeyen bir olur mu?”
Böyle bir bilgi birikimi ekipte olmayınca SIEM ürünü bütün teknik özelliklere sahip olsa bile satan, alan, uygulayan bilmediği için bu özellikler de kullanılamıyor.
Referanslar
- https://medium.com/@eakbas/surelog-siem-korelasyon-kural%C4%B1-geli%C5%9Ftirme-%C3%B6rnek-%C3%A7al%C4%B1%C5%9Fmas%C4%B1-1-2f0e8f03a00
- https://www.slideshare.net/anetertugrul/siem-korelasyon-motoru-deerlendrme-krterler
- https://medium.com/@eakbas/siem-se%C3%A7me-s%C3%BCre%C3%A7lerindeki-aksakl%C4%B1klar-ve-son-kullan%C4%B1c%C4%B1n%C4%B1n-durumu-42ce5d045623
