50000(Ellibin) EPS SIEM Nasıl Olur?
25 000 , 50 000 EPS gibi yüksek EPS değerleri için birden fazla makine gerekeceği aşikardır. Bu noktada gerekli olan makine sayısı ve bu makinelerin CPU, RAM, Disk ihtiyacı üründen ürüne çok değişkendir.
Genel hatları ile CPU, RAM ve Disk ihtiyacını etkileyen parametreler için aşağıdaki makaleye bakılabilir.
Bununla birlikte 25 000 , 50 000 EPS gibi yüksek EPS değerleri için CPU, RAM ve Disk ihtiyacını belirlemede SIEM çözümünün tasarımı ve mimarisi en büyük etkendir. Sahadan gerçek değerleri örnek vermek gerekirse, 50 000 EPS için içinde 104 Core, 1 TB RAM, 30 TB Disk ve buna yakın birkaç tane daha makine olan ve toplamda 10 tane makine kullanıp daha log toplamada takılan, korelasyona hiç geçemeyen çözümler olduğu gibi, bu sistem kaynağının yarısı ile yüzlerce korelasyonu gerçek zamanlı çalıştırabilen ve logları diskte 1 yıl canlı tutabilen çözümler mevcuttur.
Burada Elasticsearch faktörünü de unutmamak lazım. Yüksek EPS değerlerine ücretsiz sürümü ile çıkmak için büyük sistem kaynağı ve disk gerekir (Canlı log için). Ülkemizde ve dünyada çokça Elasticsearch temelli SIEM ürünü olduğu için buna çok dikkat etmek ve farkında olmak lazım. Elasticsearch konusu ile ilgili aşağıdaki makale incelenebilir
