Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

Furkan ÇALIŞKAN


NSM, DFIR, WebPen, coding and stuff

SIEM Seçiminde Dikkat Edilmesi Gerekenler - 1

Giriş

Kurumların siber güvenliği adına artık olmazsa olmaz hale gelen SIEM ürününün seçimi ürünlerin yapısının karmaşıklığı gereği bazen oldukça içinden çıkılmaz hale gelebiliyor.

Özellikle ihtiyaca göre doğru ürün seçimi, doğru EPS hesabı, uygun mimari tasarım ve log retention (eksitme?) politikaları baştan doğru tanımlanmazsa günün sonunda elinizde çöp bir ürün bulabilirsiniz.

Hepsinden önemli yetişmiş ve ürünün hakkını verebilecek GÜVENLİK uzmanlarınız yoksa... Windows log'unu doğru açabilmek önemli olabilir ama o logdan hangi saldırıyı o logu hangi logla korele edince bulabileceğini bilen güvenlik bakış açılı (security-mindset) personel bulabilmek işin en önemli kısmı belki de.

EPS

SIEM'i neden alıyorsunuz? Yasal bir zorunluluk mu söz konusu yoksa güvenlik postürünüzü mü iyileştirme istiyorsunuz? Yoksa ikisi beraber mi? Peki log alacağınız kaç sistemini var gerçekten biliyor musunuz? Firewall'ınız saniyede kaç log satırı üretiyor? Event per Second hesabı yaparken bu verilerin tam detayıyla çıkarılması başarılı bir SIEM projesi için önemli bir faktör. (Özellikle son anda HA sistemlerinizin sadece birini EPS hesabına kattığınızı görürseniz :)

Log Retention

Logları ne kadar süre tutmak istiyorsunuz sorusu. 5651'e tabii misiniz? Yada PCI DSS? Tutulan bu loglar ne kadar süre 'canlı' ne kadar süre arşiv olarak tutulmalı? Arşivden geriye dönüş sürelerini/operasyyon kolaylıklarını üreticiyle konuştunuz mu? 90 gün canlı log planladığınızda 91. güne ait bir geçmişe dönük korelasyon çalıştırma ihtiyacınız olduğunda ne yapacaksınız?

SIEM'i kurmak

SIEM projelerinin büyük çoğunluğu neden fail ediyor? Cevap basit: Kimse ne yaptığını aslında bilmiyor... Herkes 'diğerleri' alıyor diye SIEM alıyor. Yetişmiş elemanlar altın değerinde. Mutlaka bir tanesini 'kandırın' ve ekibinizde kendiniz için çalıştırın. Yoksa 5651 loglarıyla 'pass-the-hash' yakalamaya çalışan çalışanlara kalırsınız.


About the author

Furkan ÇALIŞKAN


Discussions

comments powered by Disqus