SİBERKAFE Online Siber Güvenlik Sohbetleri — 21 / Yerli SIEM Ürünleri Sohbetine SureLog Olsa İdi İle Katkılarım

Siberkafe Yerli SIEM sohbetinde SureLog yok idi. Ben de videoyu izledim.

Yerli üretici olarak SureLog adına yorumlarımı paylaşayım istedim. Sohbetin linki aşağıdadır.

https://www.youtube.com/watch?v=qYiWp8xrZ-A

Baştan meşhur atasözünü hatırlatayım

“Doğru söyleyen dokuz köyden kovulur. “

Yerli SIEM üreticilerimize sorulan ürününüzün avantajları neler? Sorusuna oturuma katılan üreticiler

· Hız

· Cluster

· Yedeklik

cevabını verdi. Videodan anladığım kadarı ile hızdan kasıt Elasticsearch altyapısı kullanılarak yapılan 1–15 günlük arama hızı. 365 gün önceki 15 gün içinde yapılacak aramalara değinilmedi.

Cluster ve yedeklik de yine Elastic altyapısının sağladığı özellikler. Eğer yanlış anlamadı isem ve Elastic e atıf varsa ise; burada Elastic deki lisans değişikliği sorulabilirdi.

Diğer bir üreticiye sorulan yerli ve yabancı rakiplerden farkınız? Sorusuna

· Biz içerden saldırganı simüle ediyoruz, saldırganı tespit edecek ekstra log üretiyoruz

· Süreklilik

· Yabancı ürünlerde customization zor, biz kolay yapabiliyoruz

· Destek farkımız var oldu

Bu soru SureLog a sorulsa idi cevap şöyle olurdu?

Bu maddelerin bazılarına ek olarak (SureLog Elastic Kullanmaz)

Bir SIEM için en önemli iki konuda (log-analitics ve Korelasyon ) SureLog SIEM ZİRVEDEDİR!

SureLog SIEM dünyada canlı logları en az disk kullanarak en uzun süre canlıda tutabilen yazılımdır. Örnek olarak maksimum 3000 EPS için 12 ay canlıda tutmak için 3 TB disk yeterlidir

Ayrıca SureLog SIEM aşağıdaki gibi yüzlerce şüpheli ve/veya saldırı senaryosunu hap gibi kolaylıkla ara yüz/sihirbaz kullanarak geliştirebilecek ve yakalayabilecek dünyadaki tek üründür. Bu senaryolara örnekler:

1. 30 günden uzun zamandır kullanılmayan hesapları tespit et, sil, kilitle

2. Son 30 gündür kullanılmayan standart proxy target portları harici bir port yeniden kullanılmaya başlamışsa ve bu port 1024 portundan büyük bir portsa birden fazla farklı dst ip adresine 5 dk içerisinde requestMethod=POST olacak şekilde çoklu istek yapıyorsa tespit et.

3. 15 gündür hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den fazla Workstation da Remote interactive logon olmuşsa uyar.

4. Aynı anda aynı kullanıcı sunuculardan birinde oturum açarken, veri tabanında da da oturum açarsa uyar.

5. Aynı kullanıcı, aynı makinaya gün içerisinde hiç başarılı oturum açmadan iki den fazla başarısız oturum açarsa tespit et.

SureLog bütün bu avantajları benzer ürün segmentindeki ürünlere göre çok daha ekonomik olarak sağlar. Sağladığı diğer avantaj ise bu projenin başarıya ulaşması için gereken emek ve sonrasında bakım/tutum ve destek ihtiyacı çok çok azdır.

Global rekabet ile ilgili soruya verilen cevap

· Stable ürün üretmek çok zor çünkü SIEM çok büyük ürün

· Stable ürün yap ve ekosistemi genişlet

· Free ürün yap ve dağıt

Cavabı geldi.

Bu soru SureLog a sorulsa idi cevap şöyle olurdu?

· Teknolojik rekabet yapacak bir ürün geliştir

· En az bir iki konuda dünyada en iyi ol

Maddelerini de arkadaşların cevaplarına eklerdim.

Ayrıca dikkatimi çeken bazı konular da oldu

Yerli ve milli ürünlere ne kadar destek veriliyor? Sorusuna cirosunun %50 den fazlası kamu olan üreticiler bile yetersiz diyor.

Yurtdışına ihracat nasıl artar? Sorusuna da pazarlama maliyetli yüksek, daha büyük ölçekli firmalar devletten-devlete proje yaparken bizi de dahil etsinler dendi.

Ben devletten bu kadar çok şey beklemek yerine silikon vadisi, İsrail, Japonya modellerinin daha doğru olacağını düşünüyorum