SIEM Çözümlerinin Korelasyon Yeteneği Nasıl Karşılaştırılmaz?
Bir SIEM ürününün korelasyon yeteneği Excel tabloları ile karşılaştırılamaz.
Üretici, entegratör, çözüm ortağı veya etrafa sorarak evet cevabı almanız evet demek değildir. Sonuç evet olmayabilir.
Öncelikle çok çok basit senaryolarda bile eğer korelasyona hakim değilseniz ve nasıl test edileceğinin detaylarına vakıf değilseniz, size verilen her evet cevabını evet olarak kabul edersiniz ama evet olmayabilir veya korelasyon kurgusu çokça false/pozitif üretebilir. Makalelerde okuyup beğendiğiniz, paylaşımlardan gördüğünüz, etraftan duyduğunuz her korelasyon kuralını bir Excel tablosu yapsanız ve daha sonra bu listedeki senaryoları olması gerektiği şekilde ve hakkını vererek test etmeden sadece üretici, entegratör, çözüm ortağı veya etrafınızdan birilerine soru sorup cevap arasanız, her soruya evet cevabı alabilirsiniz. Hatta alırken “Biz script çalıştırıyoruz, her şeyi yapabiliriz”, “Bizde aktif liste var, her şeyi yaparız “ gibi havalı cevaplar alabilirsiniz. Script çalıştırmanın veya aktif liste kullanmanın her derde deva olduğunu da sanabilirsiniz. Ama script çalıştırmanın 100 EPS den sonra başınıza ne açacağını, aktif liste kullanmanın 1000 EPS den sonra ne kadar CPU ve RAM isteyeceğini hesaplayamaz ve test edemezseniz yanılırsınız.
İleri seviye korelasyonları test ederken bile unutmamanız gereken şeylerden biri bunu test ortamında denemek, 500 EPS ile bunu test etmek ve 3000 EPS ile bunu test etmek çok farklıdır. Denediğiniz korelasyon test ortamında veya normal EPS değerinizden daha düşük olan PoC/Demo ortamında çalışırken, 2000–3000 EPS de 512 GB RAM vermeden çalışmayabilir. Size de baştan söylenmediği için bu kadar RAM ayıramıyorsanız size lazım olan bu senaryo yazılsa, hatta SIEM ürününün kütüphanesinde bulunsa bile bu korelasyon kuralını kullanamayabilirsiniz. .
Aşağıdaki makalede çok çok basit bir senaryoda bile böyle bir yanılgıya nasıl düşülebileceğini gösterdim.
𝐒𝐞𝐧𝐚𝐫𝐲𝐨:
Arada hiç başarılı oturum açmadan aynı kullanıcı 10 dakika içinde en az 3 defa başarısız oturum açarsa uyar.
