SIEM Ürünü Alırken veya Mevcut Ürünü Değiştirirken Sorulacak Sorular -02-
2 min readSep 2, 2022
Öncelik
- Ajanlı mı ajansız mı log topluyor?
- Şu ürünün parser ı var mı? yazılabiliyor mu?
- Zaman damgası basabiliyor mu?
- En temel korelasyon fonksiyonlarını icra edebiliyor mu?
gibi bir ürüne SIEM diyebilmek için olmaz olmazsa özelliklerle ilgili soruları ilgili makalelere havale ediyorum.
Bu olmazsa olmazlardan sonra sorulabilecek temel soruları aşağıdaki linklerde bulabilirsiniz.
Seçeceğiniz veya değiştireceğiniz ürün yukarıda linklerini paylaştığım makalelerdeki sorularla ilgili sizi tatmin eden cevaplar veriyor ve özellikle yüksek EPS değerlerine sahipseniz aşağıdaki sorulara geçebilirsiniz.
- Ürün log kaçırıyor mu?
- EPS değerleri SANS gibi veya Exabeam gibi lider SIEM üreticilerinin verileri ile uyumlu mu?
- EPS değerin düşük çıkması ve storage dan tasarruf için loglar filtreleniyor mu?
- Yüksek EPS değerlerinde (>5000 EPS) stabil çalışıyor mu?
- Yüksek EPS değerlerinde stabil korelasyon yapabiliyor mu?
- Yüksek EPS değerlerinde logların geriden gelmesi, birikmesi gibi sorunlar yaşıyor mu?
- Eğer NxLog, Snare gibi global ajanlar yerine üreticinin kendi geliştirdiği ajan kullanılıyorsa ajanlar stabil mi? Ajanlardan log gelmeme sorunu yaşanıyor mu? Ajan servisi çalışırken manuel restart ihtiyacı gibi problemler yaşatıyor mu? Yönetilecek ajan sayısı arttıkça sistem bileşenlerinde kilitlenme oluyor mu?
- Eğer Elasticsearch kullanılıyor ise stabil mi?
- Diyelim ki 10000 EPS trafiğiniz var ve 50 tane korelasyon kuralını (Basit, orta seviye ve ileri seviye kurallardan oluşan. Bkz. Korelasyon Piramidi) gerçek zamanlı çalıştırmak istiyorsunuz bunun için gerekli sistem kaynağı (CPU, RAM) nedir? Eğer 100 tane olsa ne olur? 250 tane olsa ne olur?
- Korelasyon motoru ne kadar yetenekli?
- Ürün anlık ve otomatik yedek alabiliyor mu?
- Yedekten geri dönmek gerektiğinde hassasiyet bir gün mü, bir saat mi yoksa bir dakika seviyesinde mi?
Yukarıdaki soruların bir özelliği var. Bunlar bir Excel tablosu ile kontrol edilebilecek sorular değil. Dolayısı ile soru cevaptan sonra alınan cevapların test edilmesi gerekecektir. Aşağıda bazı test yöntemlerini bulabilirsiniz.
