SOC, Bulutta SIEM veya Yönetilen SIEM Hizmetlerinde Madalyonun Öteki Yüzü

Firmalar SIEM için lisans yatırımı, donanım, kaynak, personel yatırımı yatırımı yapmayacağım diyerek logların şirket dışında bir firmaya aktarıldığı bir SOC, bulutta SIEM veya yönetilen SIEM (Managed SIEM) hizmetini tercih edebiliyorlar. Bu madalyonun gözüken tarafı. Bu tarafta yukarıda belirtilen avantajlar sağlanırken madalyonun diğer tarafında neler oluyor acaba?

Öncelikli olarak loglar kişisel veridir. KVKK kapsamında bu logların şirket dışına çıkarılması kanun kapsamındaki prosedürlere tabidir. Bu konuları tartıştığım ve binlerce defa görüntülenen paylaşımlara aşağıdaki linklerden erişebilirsiniz. Bu paylaşımlardaki yorum ve beğeniler konu ile ilgili fikir verecektir.

Ertugrul A. on LinkedIn: #KVKK #loglar | 31 comments

Ertugrul A. on LinkedIn: Toplanan loglar kim olduğu net olarak bilinebilecek/bulunabilecek

Ayrıca eğer logları şirket dışına çıkarırken KVK kanuna uygun prosedürleri çalıştırmadı iseniz çalışan, eski çalışan veya şirketinize gelip internet kullanan misafirlerinizle ile KVKK prosedürleri kapsamında mahkemelik olabilir veya bu noktalardan yumuşak bir karın oluşturmuş olabilirsiniz.

Özetlersek:

1. Loglar kişisel veridir,
2. Logları şirket dışına KVK kanununa uygun şekilde çıkarmalısınız,
3. KVKK gereksinimlerini göz ardı ederseniz hemen veya ileride hukuksal olarak sıkıntı yaşarsınız.

Diğer bir husus da loglara kimin sahip olduğudur. Bu loglar şirketinizin dışına çıkınca sahibi siz olmaktan çıkarsınız ve hizmet anlaşması bitince de bir daha bu loglara erişemezsiniz. Ama siz hizmeti bitirseniz bile KVKK, EPDK, BDDK, SPK, 5651, ISO27001, PCIDSS gibi kanun ve yönetmelikler bu logları tutmanızı ister. Çözüm olarak logları sizin tarafa taşımak aklımız gelse bile; logları kendi üzerinde tutan hizmet aldığınız firma bu logları size bir şekilde size iletebilir mi? TB larca logu nasıl iletecek? Bir şekilde iletiğini kabul edersek TB larca logu siz nasıl kullanacaksınız? Bu logları txt, csv olarak almayı deneyebilirsiniz ama TB larca log yüzbinlerce txt, csv dosya olacaktır. Hizmet veren firma tarafından bu logları txt veya csv olarak çıkarmak pratik olmayacak ve bunu istemeyeceklerdir. Diyelim ki alabildiniz. Siz yüzbinlerce txt veya csv dosyada nasıl arama, tarama veya rapor yapacaksınız? Logları hizmet veren firmada kullanılan SIEM formatında alsanız bu sefer de bu logları kullanabilmek için o SIEM e ihtiyacınız olacaktır. Bu SIEM i satın almaya kalkarsanız bu sefer de başta hesap ettiğiniz finans avantajlarından vaz geçmiş olacaksınız!!!

Bu konuları tartıştığımız aşağıdaki paylaşım da on binlerce kez görüntülenmiştir. Bu paylaşımlardaki yorum ve beğeniler konu ile ilgili fikir verecektir.

Ertugrul A. on LinkedIn: #log #siem #soc | 14 comments

Özetlersek:

1. Logları şirketinizden dışarı gönderirseniz, loglar sizin olmaktan çıkar,
2. Hizmet bitince logları alıp alamayacağınız belirsizdir,
3. Alabildiğini varsayarsak hangi formatta alacağınız belirsizdir,
4. CSV veya text formatında alabilirseniz işinize yaramaz,
5. Hizmet aldığınız SIEM formatında alırsanız da hizmet sonrasında eski logları kullanmaya (arama, tarama ve rapor) devam etmek için bu SIEM i lisanslamanız gerekir ki bu durumda maliyet avantajlarınız kaybolur.

Çözüm

Bu senaryoya çözüm bulmak isterseniz; önereceğim çözüm SIEM i kendi şirketinize kurdurup yönetimini hizmet olarak vermektir. Böyle bir durumda SIEM lisans yatırımı yapmanıza da gerek yoktur. Hizmet bedeli içerisinde lisans kiralama bedeli de bulunabilir. Bu firma ile hizmeti bitirseniz bile loglar sizin olacaktır. SIEM i satın almadığınız için hizmet sonrası bu SIEM ürününü eski logları yönetmek, arama, tarama, raporlama yapmak için kullanamazsınız. Bununla birlikte SureLog SIEM i böyle bir durumda bile kullanmaya devam edebilirsiniz. SureLog SIEM yeni log toplamayacaktır ama toplanmış bütün loglarınızı geriye doğru onlarca yıl kullanmanızı sağlar.

SureLog SIEM