Türkiye’de SIEM Alanında Diğer Uzmanlardan Farklı Olarak Neler Yapıyorum? Neden Bu Farklılıklar Önemli?
Türkiye’deki SIEM (Security Information and Event Management) sektöründe diğer uzmanlardan farklı bir yaklaşım benimsediğimi ve bu farklılığın neden önemli olduğunu açıklayacağım. SIEM’in temel amacı, güvenlik olaylarını izlemek, analiz etmek ve yönetmek için bir platform sağlamaktır. Ancak, ben SIEM konusunu işlerken sadece rutin prosedürleri takip etmek yerine işin özünü daha derinlemesine anlamayı hedefliyorum.
Benim önceliğim, SIEM’in sadece bir araç olmadığını, gerçek güvenlik problemlerini çözmek için stratejik bir yaklaşım gerektirdiğini ve bunun için seçilecek araçların bazı özelliklerine dikkat çekmektir. Her müşterinin benzersiz ihtiyaçları ve risk profilleri olduğunu anlıyor ve SIEM çözümlerimi buna göre analiz ediyorum.
SIEM konusunda işleri “mış gibi miş gibi” yapmak yerine, gerçekten müşterilerimin güvenlik altyapılarını anlamaya ve analiz etmeye odaklanıyorum. Bu şekilde, mevcut güvenlik tehditlerine karşı daha etkili ve özgün çözümler sunabilme imkanına sahip oluyorum.
Bu konulardan ilki canlı loglar meselesi. Bu konuda Türkiye’de ilk ve hala tek bilgi paylaşan, ABD ve Kanada gibi devletlerin siber güvenlik politikalarını derinlemesine analiz edip bu konu ile ilgili güncel kanun, emir ve yönergeleri Türkiye’de paylaşan benim. MITRE, SANS veya Google gibi kurum, kuruluş ve şirketkerin standart, prosedür veya tavsiyelerinin SIEM e bakan derinliklerini okuyor, analiz ediyor ve ince detayları açığa çıkarmaya çalışıyorum. Canlı loglarla ilgili ülkemizdeki diğer SIEM uzmanlarından farklı olarak neler yaptığımı, hangi konularda ilk ve hala tek kaldığımı detaylı okumak isterseniz aşağıdaki linkteki makaleyi inceleyebilirsiniz.
İkincisi de en az canlı loglar kadar önemli olan korelasyon meselesi. Korelasyon meselesi canlı loglara göre çak daha derin bir konu ve anlattıklarımın anlaşılabilmesi için Hz. Mevlana’nın dediği gibi “Sen ne söylersen söyle, söylediğin, karşındakinin anladığı kadardır” karşı taraf ile aynı dili konuşabilmek lazım.
Korelasyon konusunu Türkiye’de aşağıdaki detayda inceleyen yine ilk ve maalesef hala tek kişi benim
Yukarıdaki listeyi çok daha fazla genişletebilirim ama burada keseyim. Detay okuma yapmak isteyenler benim linkedin ve medium hesaplarımdan makalelere ulaşabilirler.
Son olarak da Elasticsearch temelli ürünlerin avantajları ile birlikte disk kullanımı ve RAM ihtiyacı ile ilgili yazdığı makaleler yine Türkiye’de ilk ve ve hala tek. Sanırım ülkemizdeki SIEM çözümlerinin %50 sinden fazlası Elasticsearch temellidir. Elasticsearch ile iligli Türkçe yazılmış binlerce birbirinin nerdeyse kopyası yazı bulunabilir. Ama bunların hiçbirisi aşağıda benim yaptığım gibi avantajlarının yanı sıra disk ve RAM meselesine değinen makaleler değil.
Türkiye’deki SIEM alanında diğer uzmanlardan farklı olarak, canlı loglar ve korelasyon konularında yazdığım makaleleri ve Elasticsearch gibi ülkenin en az yarısının kullandığı bir sistemi avantaj ve dezavantajları ile detaylı incelediğim makalelerimi gösterebilirim.
Umarım yakın zamanda bu konularda tek kalmaktan kurtulurum
