Audit ve Siem arasındaki fark nedir?

Bu konuda bende Lepide gibi bir Audit ürününün Türkiye dağıtıcısı bir firmaya sahip olduğum için bana bu konuda çok soru geliyor. Yani bizde SIEM var Audit ürünü gerekli mi? Ya da bize Lepide veriyorsunuz SIEM ihtiyacımı karılanmış oldu mu gibi? Aslında bu iki ürün temelde aynı işi yapıyor gibi görünse de pratikte farklı sonuçlar alıyoruz. Birbiri içine girdiği çok fazla alan olduğundan özellikle sınırlı bütçesi olan ya da personel sıkıntısı çeken firmalar bir noktada tercih yapmak zorunda kalıyor. SIEM kapsam olarak aslında Audit ürünlerini içine alan bir evrensel küme gibi düşünülmeli, sonuçta SIEM dediğimiz ürünler aslında sizin kapı geçiş sistemi, VPN, firewall, dosya sunucusu, mail server, web sitesi erişim logları derken aklınıza gelebilecek ve sizin entegre edebileceğiniz hemen hemen tüm sistemlerin olay günlüklerini yani loglarını merkezi olarak toplayan bir sistemdir. Durum böyle olunca Active Directory, Exchange Server, Sharepoint, Office 365, Azure, File Server, SQL gibi pek çok şirkette kullanılan bu bileşenler için Audit ürünü alarak bu ürünlerdeki değişiklikleri izleyebileceğiniz gibi SIEM entegrasyonu ile de bunu yapabilirsiniz.

Peki banka, Telekom, GSM ve benzeri hem bütçesi hem de yeterli personeli olan firmalar neden her ikisini alıyor? Bunun en temel nedeni Audit ürünleri daha kullanıcı dostudur, izlediği ürüne özel raporlar, ekranlar, özellikler sunar. Yani “for exchange server” “for file server” “for office 365” gibi bileşenler veya ürünler özellikle özelleşmiş ürünler iken SIEM gibi kapı geçiş sisteminin de loglarını alırken Azure Active Directory loglarını da almasını beklediğiniz sistemler bu kadar esnek olamıyor. Yani ilk neden Audit ürünleri daha odaklı ürünler olduğu için SIEM ürünlerinden daha kolay kullanım sunar.

İkinci en büyük özellik ise hız. Malum SIEM ürünleri tüm logları topladığı ve kolerasyon yani bu loglardan anlamlı sonuçlar çıkarmaya çalıştığı için ciddi bir sistem kaynağı ister. Genellikle bu kaynakların sağlanması pek mümkün olmaz veya ilk SIEM projesi hayata geçtiğinde sağlanmış olsa bile birkaç ay veya yıl sonra ürün ciddi performans kaybına uğrar. Bu durumda basit bir GPO değişikliğini kim yapmış dediğinizde bugün git yarın gel şeklinde bir cevap almanız mümkün, ben bizzat banka organizasyonlarında bu cevabı almış birisiyim. Malum banka büyük, parası çok, personeli çok ama verisi de çok olan bir yapıdır. Tabi ki proje güzel kurgulanmıştır ancak olası bir siber saldırı, geçiş, bakım derken sistemleri sürekli ilk gün olduğu gibi tutmak çok zor.

Bir diğer konu ise uzman personel. Yani SIEM’ in ışıl ışıl çalışması, ilk günkü performansını koruması, sürekli güncellenmesi ve istediğiniz her log’ u istediğiniz formatta vermesi için uzman bir personel gerekli. Zaten kobi ve benzeri firmalarda her işi yapan personel için milyonlarca log yağan bir sisteme bakmak son derece zordur. Audit sistemi ise yine burada bir avantaj sunar, küçüktür, zaten modüler yapısı nedeni ile örneğin pek çok müşterim sadece SQL, File Server veya Exchange Server, AD gibi o anda ihtiyaç duyduğu veya bütçesinin yettiği modülleri alır. Son fark ise ücret tabiki. SIEM ürünleri daha geniş bir kapsam sunduğu için Audit ürünlerine göre daha pahalıdır. Özetleme gerekir ise eğer hem paranız hem de personeliniz var ise SIEM + Audit ürünleri mükemmel sonuç verir ki Türki’ nin pek çok büyük kurumunda bu senaryo aktif çalışmaktadır.