SIEM ve Log Yönetimi çözümlerinde logların olabildiğince uzun süre canlıda kalabilmesi çok kritiktir. Neden kritik olduğunu merak ediyorsanız aşağıdaki linkte bulacağınız makaleleri inceleyebilirsiniz.

Logları canlıda tutarsanız lazım olduğunda anında erişirsiniz. Eğer 7 gün, 1 ay, 3 ay canlıda tutar daha eskilerini arşivde tutarsanız, eski loglara erişmeniz, erişeceğiniz zaman aralığına ve…

Bir SIEM ürününün korelasyon yeteneği Excel tabloları ile karşılaştırılamaz.
Üretici, entegratör, çözüm ortağı veya etrafa sorarak evet cevabı almanız evet demek değildir. Sonuç evet olmayabilir.
Öncelikle çok çok basit senaryolarda bile eğer korelasyona hakim değilseniz ve nasıl test edileceğinin detaylarına vakıf değilseniz, size verilen her evet cevabını evet olarak kabul edersiniz ama…

Arada hiç başarılı oturum açmadan aynı kullanıcı 10 dakika içinde en az 3 defa başarısız oturum açarsa uyar. Bu 10 dakika içindeki başarısız oturumlar sırasında bir defa bile başarılı oturum açmışsa uyarma senaryosu benim turnusol kağıdı olarak kullandığım yüzlerce senaryodan biri. …

Çok kullanılan, çok bilinen ve çok sevilen başarılı açık kaynak SIEM veya SIEM yerine kullanılabileceği düşünülen ürünlerin canlı log, korelasyon ve arşiv log açısından değerlendirmeleri aşağıdadır.

Elasticsearch:

Elasticsearch bu makalede incelenecek bütün ürünlerin log saklama ve loga erişim altyapısıdır. …

SIEM çözümlerinde sıkça karşılaşılan problemlerden biri demoda çalışan veya başlarda çalışan kuralların sonradan çalışmamaya, veya geç çalışmaya başlamasıdır. Bu konuda bir ölçü koymak ve ihtiyaç duyanların karşılaştırma yapabilmesini sağlayacak referans verileri oluşturmak için aşağıdaki bilgileri paylaşıyorum.

Ortalama 1000 EPS, Maksimum 3000 EPS log akışı olan bir sistemde, aşağıdaki gibi 100…

Bir SIEM için kurulum ve Log toplama gibi temel konularının zaten olmazsa olmaz olduğundan dolayı doğrudan geçip ideal bir SIEM için aşağıdaki konuların incelenmesi gerekir.

•Log Kaçırma

•CPU&RAM ve Disk Gereksinimleri

•Canlı Log

•Arşiv Yönetimi

•Korelasyon

•UEBA

•Açık Kaynak Çözümler ve Ticari Ürünlere Kalıtsal Etkileri

•SOC Yanılsamaları

Log Kaçırma Problemi

  • Aramızda log kaçırdığını…

Yaptığım bir webinarda benden yazmamı istenen bir makale “SIEM seçerken sorulacak sorular”. Soruların olabildiğince basit olmasına çalıştım. Kurulum, log toplama gibi olmazsa olmaz temel konuları geçtim.

Sorular:

  • Ürün Elasticsearch kullanıyor mu? Evet cevabı alırsanız aşağıdaki makaleleri okuyun
  • 5000 EPS için logları 12 ay canlıda tutmak için ne kadar disk gerekir?

İdeal bir SIEM çözümü incelenirken en önemli konuları sıralamak gerekirse:

•L og Kaçırma

•CPU&RAM ve Disk Gereksinimleri

•Canlı Log

•Arşiv Yönetimi

•Korelasyon

•UEBA

•Açık Kaynak Çözümler ve Ticari Ürünlere Kalıtsal Etkileri

•SOC Yanılsamaları

•SureLog Bu Anlatılanların Neresinde?

Bu konuların incelendiği webinar kaydı aşağıdadır

Ertugrul Akbas

Entrepreneur,Security Analyst,Research.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store