SureLog SIEM Korelasyon Yeteneğinin Rakiplere Göre Fark, Avantaj ve Üstünlükleri Nelerdir?
Öncelikle belirtmem gerekir ki, bu tür kıyaslamaları garipsiyoruz hatta ayıplıyoruz. Benim düşüncem ise toplumdan/müşterilerden sakladığınız bir konu yok ise niye karşılaştırma yapmayasın. Bu konuda çokça ihtarname almış birisi olarak batılı toplumların rekabet şekli bana çok daha uygun. Herkes Mercedes, BMW, Audi, Volvo arasındaki reklam rekabetini görmüştür ki yüzlerce marka arasında benzer kıyas ve göndermeler oluyor.
Hatta pek çok yabancı SIEM üreticisi kendi web sayfasında rakiplerinin isimlerini kullanarak karşılaştırma tablolarını yayınlarlar. Örnek:
Aslında bu tür karşılaştırmalarda doğruları söylemiyorsanız firmanızın güvenilirliği ve ticari geleceği açısından oldukça zor duruma düşebilirsiniz. Hukuki olarak da bir çok tazminat ile de karşı karşıya kalabilirsiniz. Maalesef bizde rekabet kanunları bu tür karşılaştırmalarda yer almak istemeyenlere yarıyor. Değil kurumsal web sayfasında, herhangi bir makalede test sonuçları ve rakamlarla bile bir karşılaştırma yapsanız ihtarname gönderiyor yerli üreticiler veya onların Türkiye’deki dağıtıcıları.
Benzer şekilde SureLog SIEM in korelasyon tarafının üstünlüklerini paylaşacağım ama maalesef rekabet kanunumuz izin vermediği için ben yukarıdaki reklamlarda olduğu gibi rakip ürün isimleri veremeyeceğim.
SureLog Korelasyon Avantaj ve Farklılıkları
1- Korelasyon editörünün esnekliği ve kolaylığı
SureLog SIEM korelasyon editöründe herhangi bir kısıt yoktur. Kısıttan kastımı şöyle açıklayayım. En meşhur ve değişik listelerde lider olarak gözüken ürünlerin bazılarında kuralların 40–50 kalıbı vardır siz bu kalıpları şablon olarak kullanıp boşlukları doldurarak kural yazarsınız. SureLog ise ön tanımlı böyle şablon ile sizi kısıtlamaz, tek kısıt hayal gücü ve bilgi birikiminizdir. Aşağıda örnek bir video bulabilirsiniz
Ayrıca referanslarda da daha çok video mevcuttur [1,2,3,4,5,6]
Bazı ürünler ise daha manuel yöntemlerle alarm üretir; elasticsearch, lucene sorgusu veya NoSql sorgusu yazmanızı ister. SureLog ise her şeyi çoktan seçmeli ve bir görsel sihirbaz ile size kolaylıkla yaptırır.
2-Normalize Edilmiş Alan Korelasyon Operatörleri
Korelasyon işlemi sırasında kullanılan önemli özelliklerden biri de operatörlerdir. Örnek vermek gerekirse eğer bir kullanıcı admin kullanıcılar listesinde değilse derken “listede değil” kontrolünü yapan operatördür. Aşağıda SureLog SIEM temel operatörleri mevcuttur.
Bu temel operatörlere ek modüllerle aşağıdaki opsiyonel operatörler de eklenebilir
Bu kadar çok operatörün desteklendiği tek SIEM çözümü SureLog dur.
3- Listeler
Listeler statik ve/veya dinamik yollarla oluşturulan listeler ve korelasyonlar tarafından oluşturulan verilerin korelasyon içinde kullanılmasını sağlar. Tespit etmek istediğimiz verileri oluşturduğumuz listeye yukarıdaki yöntemlerden biri ile ekledikten sonra bu listeleri kurallarımızda kullanabiliriz. Burada da devreye liste operatörleri girer; neredeyse yerli yabancı bütün ürünlerde verinin sadece listede olup olmadığı kontrol edilirken SureLog SIEM de bunlara ek olarak
- Listedeki verinin büyük/küçük harf e göre atanması
- Listedeki verinin bir kısmı ile uyuşan kontrollerin yapılması
- Listedeki veri ile regex karşılaştırması yapılabilmesi
gibi özelliklere sahiptir.
Ayrıca bu temel liste operatörlerine ek modüllerle aşağıdaki opsiyonel liste operatörleri de eklenebilir
SureLog liste operatörleri haricinde listeleri kullanma esnekliği olarak da dünyadaki en iyi ürünlerden biridir.
SureLog, IBM Qradar, Arcsight (Bu sefer isim verdim) gibi ürünlerle birlikte çok boyutlu liste kullanabilir [7].
Ayrıca SureLog SIEM aynı anda birden fazla listeyi işleyebilir (ekleme, çıkarma, güncelleme). Türkiye’de çok satılan ve meşhur marka SIEM ürünlerinin çoğu da dahil olmak üzere pek çok SIEM bunu yapamaz.
4- Korelasyon Mantığı Operatörleri
Bu operatörler normalize edilmiş alan korelasyon operatörleri ile karıştırılmasın. Bunlar aynı değildir. Korelasyon mantığı operatörleri korelasyon mantığını oluştururken kullandığımız operatörlerdir. Örnek vermek gerekirse kullanıcıların aynı anda iki farklı etkinlik yapmak gibi anormal davranışlarını tespit etmek isteyelim. Örnek:
Bir kullanıcı bir güvenlik duvarında oturum açarsa ve aynı anda ağ içindeki bir sunucuda oturum açarsa (1–2 saniye tolerans dahilinde), durumu bildirin.
Buradaki “aynı anda” bir korelasyon mantığı operatörüdür.
Değişik meşhur listelerdeki ürünler de dahil mevcut ürünlerin büyük çoğunluğu sadece “Fallowed by, AND, OR” operatörlerini destekler. Bunların içinden bazıları “Not Fallowed by, After” desteklerken sadece SureLog SIEM bu operatörlerle birlikte ek olarak “At the same time, Before, Any” destekler.
5- Korelasyon Motorunun Performansı ve Esnekliği
SureLog SIEM özellikle yerli SIEM ürünlerinin bazılarında gözüken maksimum kayıt sayısı veya parse edilen (normalize edilen) bütün alanları korelasyona sokamayıp, sadece ön tanımlı alanlar ve özel kolonlardan oluşan 6–7 alanı (kolonu, normalize edilmiş veriyi) korelasyona sokabilmek gibi kısıtları yoktur. Bu konuda SureLog SIEM kısıtsızdır.
Ayrıca yabancı meşhur SIEM ürünleri de dahil pek çok SIEM üründe logu 5000 EPS de toplarım ama korelasyonu 1500 EPS de yapabilirim gibi. Yine özellikle yerli ürünlerin bazılarında olduğu gibi 3000 EPS i aşarsa cluster lazım gibi performans kısıtları SureLog SIEM de bulunmaz!.
SureLog SIEM in yukarıdaki avantaj ve farkları dışında SIEM konusunda daha derine dalınca anlaşılabilecek fark, avantaj ve üstünlükleri vardır. Örnek:
https://anet-canada.ca/2019/10/12/hunting-critical-process-masquerade-using-surelog-siem
Aşağıda çoğu daha önce peerlyst de yazdığım ve çok fazla olumlu yorum aldığım ama daha sonra peerlyst kapanınca kendi medium hesabıma aktardığım konu ile ilgili makaleleri bulabilirsiniz.
Referanslar
- https://www.youtube.com/watch?v=AMQFBvDpce0&t=8s
- https://www.youtube.com/watch?v=lPkGKDz0yfM&t=4s
- https://www.youtube.com/watch?v=wceQhLsDA-I&t=5s
- https://www.youtube.com/watch?v=kVhTELx5LBQ&t=2s
- https://www.youtube.com/watch?v=1jbWtewE-FM&t=113s
- https://www.youtube.com/watch?v=M_8Uo4QStrk&t=15s
- https://drertugrulakbas.medium.com/the-importance-of-siem-list-watchlist-management-and-product-comparisons-3f7cc3395d3f
