Şirketler Neden ve Nasıl SIEM Çözümlerini Değiştirir?
Log toplamaya başlan ve birkaç yıl öyle veya böyle log toplanan bir sistemin değiştirilmesi zordur.
Bu konuda oldukça tecrübe kazandım. Elasticsearch temelli SIEM çözümlerinden tutun, diğer bilinen açık kaynak çözümlere, Gartner’da ismi olan ürünlere kadar pek çok ürünle ilgili böyle değiştirme tecrübelerim oldu.
İnsanlar bu zahmete neden giriyorlar?
- Proje satışı sürecinde verilen sözler tutulmuyor.
- Logların hepsinin toplanmadığı fark ediliyor.
- Poc 3000–5000 EPS ile yapılıyor ama gerçek ortam 30 000 EPS ve üstü 50 000, 100 000 EPS gibi değerlere çıkınca PoC deki stabilite ve performansın olmadığı ortaya çıkıyor.
- Kanun ve yönetmelikler açısından bir SIEM çözümümüz olsun diye başlayan projeler daha sonra fayda almaya dönüşünce ortaya çıkan problem ve eksiklikler sebebi ile.
- Canlıda log tutabilme süre kısıtı (Çoğu 8–10 günü bilemedin 15 günü geçemez), stabilite problemleri, arşiv yönetiminin imkansız derecede zorluğu, korelasyonun özelliğinin yetersizliği gibi teknik problemler.
Yukarıdaki problemleri yaşayan firmaların bir kısmı alternatif çözümler ararken, önemli bir kısmı şu veya bu sebepten dolayı mevcut durum ile devam etmeyi seçiyor. Ben 80 000 EPS civarı olması gerekip de 3000 EPS log yakalayabilen sistemlerin bile değiştirilmediğine şahit oldum. Bunun en büyük sebebi bütçenin harcanmış olması ve ilişkiler.
Benim özelimde SIEM değiştirme süreçlerinde gördüğün en birinci sebep; benim daha önce yazılarımla insanları yaşayabilecekleri konularda uyarmış olmama rağmen bunu dikkate almayıp daha sonra da bu problemi yaşayınca tecrübeme olan güven oluyor. Bu ve benzeri yüzlerce olay yaşamışımdır. Aşağıdaki yazıda bunu dile getirmeye çalışmıştım.
Değişim zordur, ama sonunda harikadır.
