[NetSec] Global SIEM ürünleri

[Kadir coşkun]

Arkadaşlar herkese merhaba,

Bir Kamu Kurumunda global SIEM ürünlerinden Arcsight ve QRadar için POC süreçleri geçirdik ve yeterince analiz yaptık fakat bir de Mcafee ESM var. Mcafee'nin SIEM ürününü kullanan arkadaşlar vardır diye tahmin ediyorum. ürün ile alakalı yorumlarınızı paylaşabilir misiniz? Özellikle diğer 2 ürün ile kıyaslayabilmek adına tavsiyelerinize ihtiyaç duymaktayız. Herkese yardımları için teşekkürler.. Kolaylıklar dilerim.. 

--

Kadir COŞKUN

[Evren Pazoglu]

Merhaba

 

1-       Diğer iki ürüne göre fiyatı oldukça makul

2-       Hazır gelen use case leri var.

3-       Arayüzü, güzel ve kullanıcı dostu

4-       Kurulumu ve konfigürasyonu gerçekten kolay

5-       Community çok iyi değil hatta yok denebilir : )

6-       Diğer McAfee ürünleri ile bir çok entegrasyon mevcut

 

Fakat sonuçta SIEM sizin isteklerinize göre şekillenecek bir ürün.

 

Bence SIEM seçiminden önce ,SIEM desteğini kimden alacağınızı seçmeniz daha önemli yoksa ürün bir süre sonra kullanılamayan bir ürün haline gelecektir.

 

Anton Chuvakin’in yazılarını ve sunumlarını okumadıysanız okumanızı tavsiye ederim.

 

Saygılar.

------------------- NORMSHIELD’DEN SİBER TEHDİTLERE YÖNELİK ÜCRETSİZ İSTİHBARAT PAYLAŞIM HİZMETİ http://blog.normshield.com/2016/06/free-intelligence-service.html -------------------

[Furkan ÇALIŞKAN]

Merhaba,

McAfee'nin aggregation konusunda limitlerinin kısıtlı olduğunu biliyorum sadece. Bir de Intel'in güvenlik alanından çekileceğine dair dedikodular var.  Qradar ve Arcsight kendini ispatlamış ürünler (arayüz ve kullanım olarak Qradar'ı daha çok beğenmiştim). Bir de henüz POC bitmediyse Logrhythm'e de bakabilirsiniz. Son zamanlarda ismi oldukça çok duyuluyor ve Gartner raporlarında da iyi olarak kendine yer buluyor. Türkiye desteği konusunda pek bilgim yok.

Kolay gelsin,

20 Tem 2016 Çar, 18:33 tarihinde, Evren Pazoglu <evren....@gmail.com> şunu yazdı:

[Sukru Durmaz]

SIEM ürünlerinden Arcsight ve QRadar'ın milli bir rakibi LogCollector'u de denemenizi tavsiye ederim. %100 milli, Türkçe/İngilizce ara yüzü, fiyat/performans avantajı olduğunu belirtmek isterim. Bildiğim akdarı ile 4 yıldır 35 binden fazla client'ın olduğu bir sistemde sorunsuz çalışıyor. Geliştirici firma YATEM A.Ş. ise hem tecrübe hem de destek yönünden çok iyi.

Ayrıntılı bilgi alabilirsiniz:

http://www.log-collector.com/

http://www.yatem.com.tr/

 Kolaylıklar dilerim. İyi çalışmalar.

20 Temmuz 2016 18:33 tarihinde Evren Pazoglu <evren....@gmail.com> yazdı:

[Yunus Yıldırım]

Yerli bir SIEM ürünü arıyorsanız, biraz reklam gibi olabilir, CRYPTTECH'in CryptoSIM ürününü inceleyebilirsiniz.
Yerli ürün, destek, web-desktop client, linux ve windows sistemlerde calısabilir bir ürün.
Ayrıntılı bilgi için;
https://www.crypttech.com/tr/urunler/urun-detay/CryptTech-CryptoSIM/12/0/0

iyi çalışmalar.

Yunus YILDIRIM

Information Security Engineer
CRYPTTECH – Cyber Security Intelligence

T	:	+90 (212) 217 70 17	F	:	+90 (212) 217 70 19
M	:	+90 (553) 016 28 48	E	:	yu...@crypttech.com
W	:	www.crypttech.com

---

Gönderen: NetSec <netsec-...@netsectr.org> adına Sukru Durmaz <sukru....@gmail.com>
Gönderildi: 20 Temmuz 2016 Çarşamba 23:13
Kime: li...@netsectr.org
Konu: Re: [NetSec] Global SIEM ürünleri

 

[yasin]

Herkese selam,

POC yapan veya mevcutta siem/log ürünü kullanan arkadaşlar, EPS değerlerini mümkünse log kaynaklarını paylaşabilir mi? En azından 2000 eps 3000 eps de sorun yaşamadık şeklinde bir bilgi.Tabi kaynaklarda önemli(gateway,firewall.. vb).Aynı zamanda yöntem syslog,ssh vb. özellikle syslogdan aldığınız logların kaybolmadığından nasıl emin oldunuz veya oldunuz mu? Soru çok ama  şu ölçekte bu ürün sorunsuz diyebilir miyiz? Tabi aggregation normalization correlation hakkında da bilgi çok faydalı olur.Örneğin log kaynağında 1 TB tutulan 1 senelik veri log ürününde kaç TB tutuluyor.Son olarak 5651 kapsamında tutuluyorsa loglarda nelere dikkat etmek gerekiyor.

[omer kartal]

Onlara dunya kadar para vermek yerine Alienvailtu tavsiye ederim...

20 Tem 2016 15:42 tarihinde "Kadir coşkun" <kadirco...@gmail.com> yazdı:

[Burak Dayioglu]

Merhaba,

Biz uzunca bir süredir SIEM ürünleri ile çalışıyoruz; pek çoğu ile deneyimlerimiz oldu. İşletmeniz küçük, beklentileriniz düşükse yerlilerin önemli bir bölümü, AlienVault vs ihtiyaçları karşılayacaktır.

Birden fazla lokasyonunuz varsa, farklı lokasyonlarda toplanan verileri işleyecekseniz Arcsight çok açık ara öne geçiyor. Arcsight'ın log toplama ajanı Arcsight sunucusunun toplama yeteneklerinin tümünü eksiksiz olarak sağlıyor. Bu da uzak lokasyonlara sadece birer Arcsight ajanı koysanız yeteceği anlamına geliyor. McAfee, IBM vb diğer ürünlerde ajanlar bu kadar yetenekli değil; bu da büyük ve dağınık bir yapıda ciddi işletim sorunlarına neden oluyor. 

Arayüzü ve kullanım kolaylığı itibarı ile McAfee ve IBM Arcsight'tan daha basit ürünler. Ancak Arcsight ile gerçekleştirebildiğimiz tüm senaryoları ne McAfee ile ne de IBM ile gerçekleştiremiyoruz. İlgilenenler özelden yazarsa örnekler ile de ayrıntılandırabilirim.

SIEM seçerken özellikle dikkat edeceklerinizden birisi nasıl bir lisans ile aldığınız olmalı. Bazı SIEM ürünleri Türkiye'de bayileri adına OEM lisanslar ile müşterilere teklif ediliyor; bu durumda ürün size değil bayiye lisanslanmış oluyor. Yıllar boyunca ürün desteğini ve yenilemesini sadece ilk alımı yaptığınız bu bayiden satın alabiliyorsunuz, üreticiye çağrı açmaya kalksanız üretici sizi tanımıyor (OEM lisans verdiği bayiyi biliyor sadece). Alırken mutlaka lisansın kalici (perpetual) lisans oldugundan ve firmanız/kuruluşunuz adına olduğundan emin olmalısınız.

sevgiler.

-bd

22 Tem 2016 Cum, 00:49 tarihinde, omer kartal <karta...@gmail.com> şunu yazdı:

[Serkan Akcan]

Kadir Bey merhaba,

Malumunuz bilgi güvenliği ürün meselesi değil. A marka ürünü alan güvenlik sağlar, diğerleri sağlamaz diyemeyiz. A marka siem ürününe sahip olanlar çok iyi güvenlik yönetimi yapar, diğerleri yapamaz demek gerçekçi değil. Siem ürünlerinde de konu ürün değil, ürün ile hangi sonuca varacağınızdır.

Siem almadan önce üründen ne gibi çıktılar alacaginizi hesap etmeniz ve bilmeniz gerekir. Hangi ürünü alirsaniz alın temel logları alip baska birşey yapmazsanız bu ürünlerin nimetlerinden yararlanmıyorsunuz demektir. Ürünü zenginleştirmek ve kabiliyet kazandırmak için Siber istihbarat ile beslemek, zafiyetleri öğretmek gerekir. Hangi durumlarda siem'in otomatik müdahale edeceğini hesaplamak ve aksiyon aldırmak gerekir. Bu görevlerin tamamını bahsi geçen 3 büyük siem markası da yapar. Çoğu zaman çalıştığınız iş ortağının siem, güvenlik operasyon merkezi, some ve yazılım geliştirme konularındaki bilgi ve deneyimi ürünün markasından çok daha önemlidir.

Burada önemli bir not eklemek isterim. Piyasada bir siem satın alıp mutlu olduğunu söyleyen birçok firma var ama çoğu siem'i siem gibi kullanmıyor. Diğer yandan x marka ürünü ısrarla tavsiye eden bayi/satici şirketler var ama geçmişe baktığınızda 1-2 yil öncesine kadar başka marka ürün önerdiklerini görebilirsiniz. O nedenle başkalarının deneyimi değil, kendi deneyiminiz çok önemli. PoC çalışmalarında senaryolar işletmek ve çıktıları tasarlamak size objektif veriye dayanan bilgi ve dolayısı ile fikir sağlar.

Saygılar

Serkan Akcan
Managing Director
Mobile:+90(532)7112942
Office:+90(212)2747490
Sent from mobile

[Tevfik Ceydeliler]

Eğer teknik bilginiz yeterli ise  ELK da işinizi görecektir. Zira bir çok bileşeni olan ve son derece "size özel" hale getirebileceğiniz bir ürün.

Daha az teknik bilgi ile Alien Vault kullanılabilir.

--

Bu elektronik postada bulunan tum fikir ve gorusler ve ekindeki dosyalar sadece adres sahip/sahiplerine ait olup, Yasar Toplulugu Sirketleri bu mesajin icerigi ile ilgili olarak hic bir hukuksal sorumlulugu kabul etmez. Eger gonderilmesi dusunulen kisi veya kurulus degilseniz, lutfen gonderen kisiyi derhal haberdar ediniz ve mesaji sisteminizden siliniz. The information contained in this e-mail and any files transmitted with it are intended solely for the use of the individual or entity to whom they are addressed and Yasar Group Companies do not accept legal responsibility for the contents. If you are not the intended recipient, please immediately notify the sender and delete it from your system.

[Evren Pazoglu]

Merhaba

 

SIEM almadan önce ve aldıktan sonra karşınıza çıkan/çıkacak sorunlarla ile ilgili yazmış olduğum yazıları paylaşayım belki bir faydası dokunur.

 

1 SIEM nedir? 2 Neden alınır? [ Episode-1 ]

https://www.linkedin.com/pulse/1-siem-nedir-2-neden-al%C4%B1n%C4%B1r-episode-1-evren-pazoglu?trk=prof-post

 

[Episode-2] SIEM, Doğru Sanılan Yanlışlar

https://www.linkedin.com/pulse/episode-2-siem-do%C4%9Fru-san%C4%B1lan-yanl%C4%B1%C5%9Flar-evren-pazoglu?trk=prof-post

Bu elektronik postada bulunan tum fikir ve gorusler ve ekindeki dosyalar sadece adres sahip/sahiplerine ait olup, Yasar Toplulugu Sirketleri bu mesajin icerigi ile ilgili olarak hic bir hukuksal sorumlulugu kabul etmez. Eger gonderilmesi dusunulen kisi veya kurulus degilseniz, lutfen gonderen kisiyi derhal haberdar ediniz ve mesaji sisteminizden siliniz. The information contained in this e-mail and any files transmitted with it are intended solely for the use of the individual or entity to whom they are addressed and Yasar Group Companies do not accept legal responsibility for the contents. If you are not the intended recipient, please immediately notify the sender and delete it from your system. ------------------- NORMSHIELD’DEN SİBER TEHDİTLERE YÖNELİK ÜCRETSİZ İSTİHBARAT PAYLAŞIM HİZMETİ http://blog.normshield.com/2016/06/free-intelligence-service.html -------------------

[sami yıldız]

Hocam sonuç nedir, şu an hangi ürünü kullanıyorsunuz. Tecrübeleriniz nedir? 

20 Temmuz 2016 Çarşamba 15:42:11 UTC+3 tarihinde Kadir coşkun yazdı: