SIEM Seçiminde Dikkat Edilmesi Gerekenler - 2

(Serinin ilk yazısını okumadıysanız; SIEM Seçiminde Dikkat Edilmesi Gerekenler-1)

SIEM seçerken belki de dikkat etmeniz gereken en önemli şey hizmet aldığınız partner firmanın Güvenlik ve Sistem bilgisidir. (Ürün bilgisi değil! Ürünü zaten bilmiyorlarsa gidip ücreticiden kendiniz alın)

Peki neden özellikle bu iki konu?

"Security" aslında SIEM almanızın asıl amacı. Güvenlik olaylarını yakalayabilmek için SIEM alıyorsunuz log toplamak için değil (tek amacınız log toplamaksa ELK kullanın)

Peki saldırıları nasıl yakalayacaksınız?

Oluşturacağınız senaryolarla. Use-case ve use-case'i oluşturan alt korelasyonlar/kurallar. Bu senaryolar için ise ellerinde bir temel kural listeleri var mı yok mu bunu iyi analiz etmek gerekir. (Evet burada "her use-case kurumun risk iştahına bağlı olarak kuruma özel oluşturulur" geyikleri yapabilirsiniz ama günün sonunda yüzbinlerce dolar verdiğiniz ürünle Windows sistem yöneticilerinizin PC'sinde çalıştırılan bir Mimikatz'ı tespit edemediğinizde tekrar görüşelim)

Peki bu noktadaki ihtiyaçlarınızı henüz SIEM nedir yeni öğrenmişken nasıl bilebileceksiniz? Partner size ürün satmak ister. Güvenlik ise ürünün asıl katma değeridir. Bunu firmanın insafına bırakmamalı, kendinizin en azından temel beklentileri olmalı.

Bu anlamda bazı listeler yapıp baştan bu kuralların implementasyonunu da alımla beraber isteyebilirsiniz yada bunun için bir başka 'ürün değil güvenlik' firması kullanabilirsiniz.

Ürün satan firmaları değerlendirirken kendi adıma kullandığım temel bir gösterge var. Firmanın Linkedin, Twitter hesabı ve Blog sayfalarını takip ederim ve buradaki haberlerin/paylaşımların Reddit/netsec, ISC Dairy, Unit 42, Fireye Blog vs... gibi yerlerden kaç gün geriden geldiğini ölçerim. Eğer bu gibi mecralarda firma hala Stuxnet vb. paylaşımları yapıyorsa büyük ihtimalle size sadece ürün satıp arkasına bile bakmayacaktır.

Pek çokları SIEM ile beraber hazır gelen kuralların işinizi göreceğini söyleyecektir. Onlara inanmayın.

Bir firmanın bu işi gerçekten bilip bilmediğini ise endpoint loglama konusundaki risk algısına bakarak anlayabilirsiniz. Genelde her ürünün/firmanın Windows DC ve Network Güvenlik cihazları loglama bilgisi iyidir fakat iş endpoint riskine geldiğinde ortalığı bir south-park sessizliği kapsar. Zira SIEM'ler en genel anlamda Windows DC loglama ve syslog konularında artık belirli bir olgunluğa ulaşmıştır fakat konu hafiften 'big-data' yada 'security analytics' kısmına kaydığı an biraz tökezlerler. (Bu sebeple bazı firmalar log toplama ve korelasyon işini artık 2 farklı ürünle çözmeye başlamıştır. ELK+Arcsight, Splunk+Arcsight, ELK+Qradar vb.)

Şimdilik bu kadar. Seri devam edecek. Soru ve görüşleriniz için; caliskanfurkan ~ gmail(.c)om

Furkan ÇALIŞKAN

Read more posts by this author.