SIEM Çözümlerini Merkezileştirmek

Siber olaylara müdahale ekiplerinin olmazsa olmazı SIEM çözümleri denilebilir. Çünkü olay müdahalesi sürecinde gelişmiş şekilde yapılan log korelasyon senaryoları ile herhangi bir incident yaşandığı zaman SIEM sayesinde aldığımız alarmlardan yola çıkarak müdahale edebiliriz. Örnek vericek olursak bir saldırgan ya da birden fazla saldırgan belirli zaman dahilinde belirli bir url'e sql injection ya da Xss saldırısı düzenliyorsa yani IPS,firewall,waf, web sunucu loglarından bulunan o url'i her zaman yoklayan birileri varsa(ateş olmayan yerden duman çıkmaz) burada bir şeylerin ters gidebileceğini düşünerek önlem alınabilir. SIEM'i merkezileştirmek SOC' yapısında gerekli tüm işlevlerini faz-1,faz-2,faz-3'ten sonra aslında tümüyle kullanmakta denilebilir. Kurum topoloji yapısı bir şekilde değişebilir ancak merkezileştirmiş olduğumuz SIEM' çözümlerini tabiri yerindeyse her şeyin tam göbeğine oturtursanız yukarıdaki gibi bir durumda SOME'nin de işlevlerini yerine getirmede yardımcı olmuş olursunuz.

Bu konularda gezerken şöyle bir resme rastlamıştım. Yazıyı özetler nitelikte olduğu için buradan paylaşıyorum.