SOC Hizmeti Seçilirken Göz Ardı Edilen Arşiv Loglarının Akibeti

SOC Hizmeti planlanırken genelde hizmet sonlandırıldığında arşiv loglarının ne olacağı konuşulmaz.

Diyelim ki 3 yıl hizmet aldınız ve 3 yılın sonunda hizmeti sonlandırmak istiyorsunuz. KVKK, 5651 gibi kanunlar veya PCI gibi uyum zorunluluklarından dolayı en az 2 yıllık arşiv loglarınız size lazım. Peki ne olacak?

• SOC hizmeti aldığınız firma bu logları sizin için bedavaya veya az bir ücretle 2 yıl daha tutmaya devam edecek mi?
• Eğer tutmayacaksa logları size iletecek mi? Nasıl? 2500 EPS için bu hizmeti aldığınızı varsaysak 2 yıllık arşiv TB larca log eder. Nasıl aktarılacak?
• Diyelim ki aktarıldı. Bu loglar Arcsigh, FortiSIEM, Qradar, Splunk vb. ile tutuluyordu. Aktarılan bu logları bu yazılımlar olmadan kullanabilecek misiniz?
• Diyelim ki bu logları Arcsigh, FortiSIEM, Qradar veya Splunk formatında değil de text formatında zipli olarak aldınız. TB larca text dosya açılıp içinden arama yapabilecek bir sistem var mı? YOK!!!

Bir de olayın nitelikli zaman damgası boyutu var. Logların zaman damgası ile nasıl tutulduğu ve size nasıl aktarılacağı diğer sorular.

Konu ile ilgili ek bilgiler için aşağıdaki makalelere bakılabilir.

SOC Önceliği Ne Olmalı?

SIEM ve SOC PoC İpuçları -1

SIEM ve SOC Hizmeti Seçerken Gözden Kaçanlar