SIEM Çözümlerinden Maksimum Fayda Nasıl Elde Edilir?

Öncelikle SIEM çözümlerini başla teknolojiler tarafından pabucu dama atılan teknolojiler olarak göstermek olayı tam anlayamamak demektir. Bu konuda en çok karıştırılan teknoloji ise XDR çözümleridir. Aşağıda Forbes tarafından yapılan bir kıyaslama tablosu bulabilirsiniz [1].

Kaynak:Forbes

Görüldüğü gibi Governance, Risk and Compliance Use Cases, Dashboards and reporting konuları XDR da açıkta kalmaktadır. Bu konular için SIEM çözümlerinin şart olduğu aşikârdır.

Kanunlar, uyumluluk, raporlama ve görüntüleme haricinde SIEM çözümlerinden maksimum elde etmek mümkün. Yüzlerce kullanım örneği ve korelasyon senaryosu örneğine birkaç tane örnek vermek gerekirse

1. Solarwinds olayında olduğu gibi bir domain saldırı için kullanılıyor ve bunun tespiti 6 ay, 1 yıl sonra anlaşılıyor. Dolayısı ile son 1 yıl içerisinde bu saldırı için kullanılan domain e son 1 yıl içerisinde erişen bütün makine ve kullanıcıların tespit edilmesi gerekir,
2. En az 15 gün (30,45,60 gün) veya uzun süre hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar,
3. En az son 30 gündür (30,45, 60,360 gün) veya daha fazla süredir kullanılmayan bir port yeniden kullanılmaya başlarsa uyar,
4. En az 30 gündür (30,45, 60,360 gün) veya daha fazla süredir suskun olan bir makine veya kullanıcı tekrar ağda görülürse makinayı kapat ve kullanıcıyı disable et.

Benzer şekilde logları çok uzun zaman aralığı içerisinde (6 ay, 1 yıl, 3 yıl gibi) çok hızlı bir şekilde, saatler mertebesinde analiz ve araştırmasını yapmak yani canlı log senaryoları ile ilgili aşağıdaki linke bakılabilir

Canlı Log Neden Kritik? Arşiv Neden Yetersiz?

Ayrıca yüzlerce korelasyon senaryosu örneği [2,3,4,5] numaralı referanslardan bulunabilir.

Referanslar

1. https://go.forrester.com/blogs/xdr-faq-frequently-asked-questions-on-extended-detection-and-response/
2. https://drertugrulakbas.medium.com/surelog-siem-only-unique-use-cases-bb0c2b20e5b5
3. ,https://drertugrulakbas.medium.com/kvkk-siem-senaryo-ve-kurallar%C4%B1-2-b7980b1511bf
4. https://drertugrulakbas.medium.com/surelog-siem-kural-k%C3%BCt%C3%BCphanesi-1000-kural-d75697a0f039
5. https://drertugrulakbas.medium.com/detecting-unusual-activities-using-a-next-generation-siem-use-cases-part-2-27b201bcc127