Beyaz Şapka Beyazsapka Kasım 2017 - Page 49

#röportaj Sayı: 36 [ Kasım 2017 ] lı müdahale, hem de SIEM teknolojisi bilgi birikimini burada uygulanan süreçlere eklenmesi ile verimliliğin sağlanması amaçlanmıştı. Böylelikle tek bir noktadan tüm istihbaratın birleştiği, otomatik olarak sınıflandırılıp değerlendirildiği bir karar destek mekanizmasına sahip olmak en büyük beklentimizdi. PoC süreçlerinin sonunda bizim çözümümüzü tercih etmenizin temel sebepleri nelerdir?  Log yönetimi ve SIEM çözümü olarak piyasada birbirinden çok fark- lı çözümler bulunuyor. Özellikle ülkemizde 5651 sayılı kanunun gerek- sinimleri karşılamak için birçok ürün bulunuyor. Ancak bilgi güvenliği olay yönetimi olarak bakıldığında ürünleri ayrıştırmak daha kolay oluyor. Biz proje kapsamında korelasyon yapabilen ve olgunluğunu ispat etmiş ürünleri belirledik ve POC süreci boyunca 3 büyük üreticin ürünlerini test etme imkanı bulduk. SIEM ürünleri log toplama yöntemi olarak ajanlı/ ajansız olarak farklı yöntemler kullanabiliyorlar. Birbirinden farklı türde logları toplayabilmek ve her üreticinin farklı ürününün log formatına destek sunabilmek mümkün değil. Bu nedenle ürüne karar vermeden önce her şirketin kendi altyapısında kullandığı ürünleri ile SIEM enteg- rasyonunu mutlaka test etmesi gerekir. Ayrıca kurumun IT altyapısının büyüklüğü ve karmaşıklığı, log kaynaklarının çeşitliliği ve log üretme yo- ğunluğu, yani segment belirlenmesi, POC çalışmalarının önemli bir kıs- mını oluşturdu. Dikkat edilmesi gereken bir diğer unsurun da ürünlerin logları ayrıştırabilme (parse edebilme) yeteneği ve kuruma özgü parser ekleyebilme kolaylığı olduğunu gördük. Ürünlerin bu anlamda olgun- luk seviyeleri birbirinden farklı olabilmektedir. Ayrıca test aşamasından sonraki tüm süreçlere kadar destek verecek iş ortağının ürün üzerindeki hakimiyeti ve bilgi birikimi test sonuçlarına doğrudan etki ettiğini söy- leyebilirim. Projenin paydaşları için en önemli unsur rapor çeşitliliği ve 49