SIEM Sıkça Sorulan Sorular

Veri depolamak için ne kadar sabit disk alanı gerekir?

SIEM için Sabit disk alanı, kaynak sayısına, olay oluşturma yoğunluğuna (kullanıcı sayısına bağlı) ve belirli bir satıcının veri alış verişine bağlı olarak hesaplanır. Genellikle her satıcının “donanım” ve “bulut” seçenekleri mevcuttur.  Ancak birçok kuruluş yurt dışından bulut teknolojisini kabul etmek istemeyebilir.

Siem ile çalışmak zor mu?

SIEM ile çalışmak zor değildir. Modern SIEM’lerde, bir WEB uygulaması gibi tüm ara yüz sezgiseldir. Çoğu bir tarayıcı aracılığıyla çalışır. Gerekirse, rollere erişebileceğiniz farklı bölümler arasında ayrım yapabilirsiniz.

Hangi satıcıyı seçmelisiniz?

Normal bir entegratör genellikle müşterinin altyapısını inceler, ihtiyaçlarının neler olduğuna bakar, ne kadar para vermeye hazır olduğunu öğrenir. Sonra satıcı teklifini yapar. Size düşen Siem hakkında gerekli bilgiyi almak ve korelasyon yeteneklerini sormaktır. Çünkü bir SIEM yeteneklerini korelasyonlardan alır. Bir çok açık kaynak kodlu sistemde korelasyon tanımlama kısıtlıdır.

Özet

Son makalelerde ortak bazı soruların cevaplarını yazmaya çalıştım. Ne yazık ki, SIEM’lerin tamamının özelliklerini ve soyut bir organizasyon için çeşitli rakamlar (fiyat, performans) vermek zordur.

Siem firmalarını karşılaştırmak ve uygun projeyi bulmak için şu soruların cevaplarını vermeniz gerekir:

  1. Sonuçta SIEM’in uygulanmasından ne bekliyorum?
  2. Toplam kullanıcı sayısı kaçtır?
  3. Olaylar da dikkate alınması gereken coğrafi olarak uzak şubeler var mı?
  4. Hangi bilgi güvenlik sistemlerine sahibiz?
  5. Ağ akışlarını analiz etmeyi planlıyor musunuz?
  6. Sunuculardan, kullanıcı iş istasyonlarından olay çekmeyi planlıyor musunuz?
  7. Altyapıda, olayların da dikkate alınması gereken belirli cihazlar var mı?
  8. Olaylar ne sıklıkla müdahale / soruşturma gerektirir? (<10 olay / gün, 10 … 50 olay / gün, 50 … 100 olay / gün,> 100 olay / gün)
  9. Herhangi bir standarda uygunluğu kontrol etmeniz mi gerekiyor? Öyleyse nasıl?
  10. Olayları ele almaktan kim sorumlu olacak?
  11. Ne kadar süre somut bir sonuç almayı bekliyorum?
  12. SIEM uygulaması ve tedariki için ne kadar harcama yapmak istiyoruz?
  13. SIEM’i kim destekleyecek ve destek için ne kadar ödemeye hazırız?

SIEM ürünlerini, projeleri KVKK için, ISO27001 için, PCI/DSS denetimi  için lazım diyerek alınırsa SIEM tek başına hiçbir şeyi önleyemez. Bir olay kayıtlıysa, o zaman zaten meydana gelmiştir. Başka şekilde dersek, DLP iletiyi engeller, antivirüs Trojan’ı öldürür, kullanıcı bilgi sızdırmak için ilk uyarıdan sonra fikrini değiştirir. Farklı yöntemler arar. SIEM size dahili gösterilerde, mahkemede kullanılabilecek veya suçluya gösterebilecek kanıtlar sunar.