SIEM/Log yönetimi Ürünü Alırken Sorulacak Sorular

Günümüz teknoloji dünyasında yaşanan siber güvenlik ihlallerinin kurumları, iflasın eşiğine kadar getirdiği gözlenmektedir. Dolayısıyla içinde bulunduğumuz bilişim çağında, bir kurumun siber tehditlere karşı koyabilmesi için siber saldırıları zamanında tespit edebilmek ve önlem alabilmek oldukça önemlidir.

Kurumlar SIEM ürünleri seçimi aşamasında birçok sorunla karşılaşmaktadır. Uzmanlarımızın edinmiş olduğu tecrübeler ışığında aşağıdaki gibi bazı sorunları sizlerle paylaşarak SIEM ürünleri seçimi aşamasında, tercih edilecek ürünlerin aşağıda ki kriterlere uygun olmasını tavsiye etmekteyiz.

 

 

Lisanlama ve Bakım:

  • Lisanlama Modeli Nasıl işlemekte? (EPS, DB Size, Agent Count..)
  • Support sürecinin işleyişi? (On-Site Support, Local Support, Web Support…)
  • Üründe standart lisansa dahil olmayan ve ekstra lisanslama ile açılan özellikleri mevcut mu? Bunlar nelerdir?
  • Bakım destek anlaşması ve lisans yenileme maliyetlerinin, ilk satın alma maliyetlerine oranı yaklaşık olarak nedir?

Ürün Soruları:

  • Appliance, High Availiable olarak çalışabiliyor mu? Active/Active – Active/Passive?
  • Disasster durumlarında DRS taraflı senaryo nasıl işliyor?
  • Appliance EPS oranına göre mi yoksa depolama kapasitesine göre mi seçiliyor?
  • Appliance’ın/parçanın (disk, ram, power supply vb..) fiziksel olarak zarar görmesi durumunda müdahale ve yenisi ile değişim süresi ve süreci nedir?
  • Kullanılan log saklama ve arama teknolojisi nedir?
  • Log toplamak için desteklenen ve tanınan ürün sayısı nedir ? Var ise bu listeyi paylaşabilir misiniz?
  • Desteklenemeyen ürünler ve özel uygulamalar için Custom Collector’ler yazılabiliyor mu? Ücretli mi? Müşterinin kendi custom collectorunu yazabilme imkanı mevcut mu? (Regex gibi)
  • Mevcut kullanılmakta olan Log Management ürününde store edilen logların yeni yapıya forward edilmesi ve artık yeni yapı üzerinden yönetilmesi mümkün mü?
  • Collector’ler veya Agent’lar ile olan bağlantı ağ seviyesine kesildiğinde, kesinti süresince toplanacak loglar için bir Queue mekanizması mevcut mu? İstenilen değerler ile konfigüre edilebiliyor mu?
  • Collector’ler, Appliance ile güvenli (SSL) bir protokol ile mi haberleşiyor?
  • Toplanan loglar ve Incident verileri nasıl saklanıyor? Backup ve Restore mümkün mü?
  • Loglar için Retention süreleri ve Periyodik saklama koşulları esnek mi (Short-Term, Long-Term Modeli)?
  • Logların yasal olarak değişmediğine dair kanıt teşkil edebilecek geçerli Hash imzaları mevcut mu? Loglar üzerinde root hakkı olsa dahi değişiklik yapabilme imkanı var mı?
  • Loglar üzerinde Correlation Rule’lar yazılabiliyor mu? Mail Alert üretilebiliyor mu?
  • Long-Term Log Query işlemleri için ne tür bir mekanizma mevcut? (Ürüne özel yapı, Google likes, SQL, Regular Expression gibi)
  • Toplanan loglar da ki Credits Card, Anne kızlık soyadı gibi özel alanlar obfuscate edilebiliyor mu?
  • Korelasyon Kuralı mantığında, sapma değerleri, korelasyon kuralı içinde başka bir korelasyon kuralının kullanılabilmesi gibi yetenekler mevcut mu?
  • Korelasyon Kuralları ihtiyaç duyulduğunda geçmiş loglar üzerinde de işletilebiliyor mu?
  • Korelasyon Kurallarına bağlı oluşan alarmlardan, client veya server üzerinden process bazlı aksiyon aldırmak mümkün mü?
  • Oluşan Korelasyon Kuralı çıktılarına göre Alert/Case mekanizması oluşturulabiliyor mu?
  • Log boyutu büyüdükçe, search ve report yeteneğinde/hızında kayıp oluşuyor mu? Bir eşik değer mevcut mu?
  • Herhangi bir log kaynağından log akışının kesilmesi durumunda anlık alertler ile durumdan haberdar olunabiliyor mu?
  • Schedule Reports’lardan biri çalışmadığında alert üretiliyor mu?
  • Yönetim ara yüzüne erişimde kendi kurumsal sertifikamızı kullanabiliyor muyuz?
  • Desteklenen Regülasyonlar nelerdir?(PCI,SOX,HIPPA etc..).Regülasyonlara özel Reports desteği mevcut mu?
  • Ürün ile birlikte tüm modüller (Collectors, Sensors, Reports, User Management, Arşiv, Troubleshoots vb.) merkezi olarak harici bir bileşene bağlı olmadan yönetilebiliyor mu?
  • Microsoft Windows işletim sistemine sahip sunuculardan loglar hangi yöntem kullanılarak toplanıyor? (WMI, WINRM, Syslog, File Access)
  • DNS, DHCP,IIS, Exchange Message Tracking, MailBox Audit gibi dosya tabanlı log kaynakları için log toplama yöntemi nedir? (Agentless/Agent gibi)
  • Collector’ler için yüksek yetkili bir AD kullanıcısı gerekiyor mu?
  • Ürün üzerinde yönetimsel amaçlı farklı kullanıcı profilleri/rolleri düzenlenebiliyor mu? Ayrıca, bu gibi internal aktivitelere ilişkin detaylı loglama yapılmakta mıdır? (Bir kullanıcı bir collector’ün tanımını değiştirdi/sildi gibi)
  • Dashboard, profile göre özelleştirilebiliyor mu? (Admin user, Monitor User)
  • SOC ekipleri için ürün üzerinde ticketing mekanizması bulunmakta mıdır?
  • Kurallar/korelasyonlar ile oluşan security incident’ları kullanıcıya özel olarak atanabiliyor mu? Incident’ların open/close gibi aktivite bilgileri e-mail ile gönderilebiliyor mu?
  • DLP, DAM, IPS, Firewall gibi ürünlerden gelen IP veya user bilgilerinin AD User ve Computer Name’ler ile Data Enrichment edilebilmesi mümkün müdür?