SIEM ve SOC PoC İpuçları -1
Tükiye’de SOC ile ilgili projelerde bazen koyun pazarlığı yapılıyor. Koyun pazarlığı ne demek? Kaç tane teknik elemanın var? diye soruluyor. Burada bir benzetme yapmak isyiorum. F1 yarışlarından bir örnek vereceğim. F1 şampiyonu Fernando Alonso ile piste çıksak; araba aynı, pist aynı sadece sürücü farklı sonuç ne olur Fernando Alonso bizi toz duman eder. Aynı şekilde siz yeni mezun veya SIEM de yeteri kadar uzman olmayan 100 kişi çalıştırsanız, 1 tane çok uzman bir personel etmeyebilir. Dolayısı ile doğru soru ekipteki en ehliyetli birkaç kişinin Cv lerini istemek ve senaryo (korelasyon kuralı) listesi istemek olmalı.
SIEM projelerinde de PoC süresi 30 günü fiili olarak geçemeyeceği için 6 ay önceye gidip, 6 ay önceki verileri nasıl yönettiği ile ilgili bir fikir sahibi olunamıyor, hatta bunu sorgulamak atlanıyor, akla bile gelmiyor.
Burada çözümü alacağınız firmadan ceza da içeren bir sözleşme ile taahüt almanız menfaatinize olur. Şözleşmede de 6 ay önceki bir zaman dilimi içerisinden seçilen 1 günlük veriye
- Nasıl ulaşırım? Bu işlem ne kadar zor?/Kolay?
- Ne kadar sürede ulaşırım?
- Ne kadar sürede aradığımı bulurum? Arama hızı?
- Ne kadar sürede istatistik veya mantık(lojik) içeren bir veri analizi yapabilirim?
10 000 RPM 1 TB bir disk, 24 GB RAM, 16 core ve max 3000 EPS değerleri ile çalışan canlı bir sistemde SureLog[1] un istatistik hesaplama yapan aşağıdaki veri analizi raporunu hazırlaması için geçen süre 24 saniye civarıdır.
Referanslar
1.http://www.anet-canada.ca
