SIEM Ürünlerinin Korelasyon Farkları
Her SIEM aynı SIEM değildir. Bir SIEM çözümünün değerinin %80 i korelasyon yeteneğinden gelir.
SIEM ürünlerinin korelasyon yetenekleri arasında çok ciddi farklar vardır. Aşağıdaki senaryoyu
“Aynı kullanıcı 35 gün içinde aynı makinaya 5 defa veya daha fazla oturum açmayı denemiş ama başaramamış (Login failed) ve arada da hiç başarılı oturum açmamışşa uyar.”
Analiz edersek :
- Öncelikle sürenin 15 dakika, 30 dakika, 2 saat gibi süreler olmadığına dikkat etmemiz senaryo analizi açısından önemli. Bu süre 180 gün de olabilirdi.
- Ayrıca mantıksal ilişki açısından da “ve arada da hiç başarılı oturum açmamışşa ” kısmı senaryoyu bilindik senaryolardan ayırıyor.
Buna benzer bir senaryo analizi çalışması daha önce yapmıştık [1].
Dolayısı ile SIEM ürünlerinin korelasyon yeteneklerini analiz edemezsek her SIEM aynı SIEM olur ve log izlemenin ötesine gecemezsiniz.
SIEM için yeterli kaynak yok, SOC hizmeti alayım dediğinizde de yine senaryoları analiz edebilmeniz gerekecektir. Aksi durumda bütün SOC hizmeti de log toplamanın ötesine geçemeyecektir.
Her F1 arabası olduğunu söyleyen kişinin bu arabayı F1 pilotu gibi kullanibileceğini varsayamayacağımız gibi.
Referanslar
