SIEM Seçme ve Değerlendirme Temel Kriterleri

Bir SIEM seçerken en kritik parametre korelasyon yeteneğidir. Ülkemizde yapılan SIEM projelerinin %50 ye yakın kısmında korelasyonlar devreye bile alınmıyor kalan %50 de ise basit uyarlarılar önemli bir oran tutuyor ve gelişmiş senaryolara kadar çıkan az sayıda proje oluyor.

Bununla birlikte daha temel seviyede irdelenecek parametrelerin de gerekli olduğu mevcut projelerdeki durum değerlendirildiğinde gözüküyor [1]. Bu yazının devamında konuya yeni başlayanların bile sorabileceği sorular ile bir kanaat oluşturabilmesini sağlamaya çalışacağız.

Yazılımın İhtiyaç Duyduğu Kaynak Nedir?
Burada EPS değeriniz ne ise ona göre bütün adayları bunun için log kaçırmayacak CPU, Ram ve Disk miktarı ve hızını sorup kıyaslayabilirsiniz. EPS değerini de çeşitli kaynaklardan kontrol etmelisiniz. EPS değerini belirlemek için aşağıdaki tabloyu kullanabilirsiniz [2].

EPS Referance List

Bütün ürünlerin kendi yoğurt yiyişleri, avantaj ve kısıtları vardır [3]. Bu konuda üretici dokümanlarını okuyarak bu verilere ulaşmalısınız. Bu veriler satış, pazarlama aşamasında gözükmeyebilir.

SIEM Ürünü Log Kaçırıyor mu?

Yukarıdaki EPS Refence List [2] tablosunu kullanarak sisteminizde görmeniz gereken yaklaşık değeler ile ilgili bir fikir sahibi olabilirsiniz. Hesapladığınız değerler ile sizin canlıda gördüğünüz EPS değerleri arasında çok ciddi farklar görmemeniz lazım. Bu konuda SIEM ürünleri arasında çok farklar vardır [4].

Logları Canlıda 365 Gün Tutmak İçin İhtiyacım Olan Disk Miktarı Nedir?

Ürünlerin canlıda log tutabilme yetenekleri arasında çok ciddi farklar vardır. Örnek vermek gerekirse max 1500 EPS bir log trafiği ve 365 gün için 1 TB ile 40 TB arasında değişin isterlere sahip ürünler vardır.

Canlıda bu kadar uzun süre tutmanın faydaları [5]:

1-Savcılık son 1 yıl içeren bir bilgi istediğinde,

2-Denetimlerde son 1 yıl içinden kontroller yapıldığında,

3-Güvenlik analizleriniz için son 6 ile ondan önceki 6 ay arasındaki trendleri karşılaştırmak istediğinizde

çok hızlı ve çok kolay yapabilirsiniz. Bu süreyi 365 yerine ihtiyacınıza göre belirleyebilirsiniz. Arşiv log kapasitesini canlıda log tutma kapasitesi olarak algılamamak gerekir[6].

Ürün Canlıda Logları 365 Günlük Veri Olarak Tutabiliyor mu?

Logların arşivlenmesi, logların üzerinde arama yapılması ve logların veri olarak kullanılması 3 farklı kavramdır.

Logların arşivlenmesi: sıkıştırıp bir kenara kaldırmak

Logların üzerinde arama yapılması: arşivlenen sıkıştırılmış dosyalarda “grep” benzeri kelime bazlı arama yapabilmektir.

Loglarin veri olarak kullanılması: 8 ay önce (05/07/2019 mesela ) firewalldan en çok bloklanan IP ler ve bu bloklama adetlerinin çekilmesi logların veri olarak kullanılabilmesidir. Geçmiş logların veri olarak kullanılabilmesi ayrıca güvenlik analizleriniz için son 6 ile ondan önceki 6 ay arasındaki trendleri karşılaştırmak istediğinizde karşınıza gelen çok önemli bir yetenektir.

Bu özelliği anlamak için “Ne kadar sürede istatistik veya mantık(lojik) içeren bir veri analizi yapabilirim? “ kritik sorudur

Arşiv Yönetimi Ne Kadar Kolay?

Bu noktada da ürünler çeşitlilik göstermektedir [7]. Arşiv yönetimi nispeten kolay ürünler ile, arşivden bir dosya aramak neredeyse imkansız olan ürünler arasında geniş bir çizgide ürünler dağılmaktadır. Geçmiş logların ne sıklıkla arşive kaldırılması gerektiği, arşivden nasıl arama yapıldığını ihtiyaçlar çerçevesinde test etmek gerekir.

Korelasyon Yapabiliyor mu? Ne Seviyede?

Korelasyon konusunda ne kadar gelişmiş senaryolara ihtiyacınız olduğuna karar vermelisiniz. Çok temel içinde “attack” geçerse tespit et, EventID 4625 olursa tespit et veya 5 dakikada 15 defa başarısız oturum olursa tespit et senaryolarından başlayarak kullanıcının davranış analizine uzanan uzun bir yoldur burası. Çok detaya inmeden aşağıdaki makaleleri referans gösterebiliriz.

1. https://medium.com/@eakbas/en-i%CC%87yi-siem-hangisi-58da55aef21
2. https://medium.com/@eakbas/siem-%C3%BCr%C3%BCnlerinin-korelasyon-farklar%C4%B1-cec00847b8cb
3. https://medium.com/@eakbas/siem-3ed84d90d0fb
4. https://medium.com/@eakbas/siber-tehditleri-nas%C4%B1l-tespit-edelim-51339d9c8d2c

Diğer Parametreler Neler Olabilir?

Taxonomy özelliği, raporlama kolaylığı, dashboardların oluşturulması ve yönetilmesi gibi parametreler de ayrıca bakılması gereken parametrelerdir.

Konu ile ilgili daha detaya inmek isteyenler için aşağıdaki çalışmayı kaynak olarak gösterebiliriz

https://www.linkedin.com/pulse/how-select-right-siem-solution-ertugrul-akbas/

Referanslar

1. https://medium.com/@eakbas/%C3%A7ok-temel-siem-proje-yanl%C4%B1%C5%9Flar%C4%B1-nelerdir-6018e9fadaa
2. https://www.sans.org/reading-room/analysts-program/eventMgt-Feb09 (Page 7)
3. https://medium.com/@eakbas/siem-%C3%A7%C3%B6z%C3%BCmlerinde-eps-limitleri-ne-i%CC%87%C5%9Fe-yarar-ae6c624a86be
4. https://medium.com/@eakbas/bir-siem-se%C3%A7erken-k%C3%B6t%C3%BC-bir-tercih-yapmaktan-nas%C4%B1l-ka%C3%A7%C4%B1n%C4%B1r%C4%B1z-bb1148feb47b
5. https://www.linkedin.com/posts/ertugrul-a-2b365813_surelog-siem-siem-activity-6639911125704024064-8JsN
6. https://medium.com/@eakbas/siem-%C3%BCr%C3%BCnlerinde-ar%C5%9Fiv-log-kapasitesini-canl%C4%B1-log-olarak-alg%C4%B1lamak-9033c84a311c
7. https://medium.com/@eakbas/surelog-qradar-arcsight-splunk-mcafee-logsign-cryptosim-alienvault-siem-389bd822b602