Açık Kaynak Ürünler -graylog-

Çok bilinen ve indirilen açık kaynak log toplama ürünlerinden Graylog ücretsiz sürümü ile ilgili tespitlerim:

1- Ücretsiz ve limitsiz sürümünde korelasyon yoktur. Yani orijinalinde SIEM değildir.

2- Korelasyon olan versiyonunda günlük 5 GB yani yaklaşık 100 EPS limit var, üstüne geçince log kaçırır ve size bak log kaçırıyorum log miktarını azalt veya benzeri uyarı ve yönlendirme de yapmaz.

3- Korelasyon yeteneği olan enterprise versiyonda da SIEM korelasyon piramidinin ilk 2 basamağını (2. basamak limitli) sağlarsınız. Üstü gerekirse sağlayamazsınız. Örnek senaryolar:

● Aynı anda aynı kullanıcı bir makinaya VPN yaparken, başka bir makinaya da RDP yaparsa uyar.

● Eğer bir domain son 24 saate oluşturuldu ise ve bu domain Alexa 1 milyon ve Cisco Umbrella 1 milyon listesinde ve bizim White liste de değilse uyar

● Password changes for the same user more than 3 within 45 days,

● 2 aydan daha uzun süredir login olmayan varsa uyar

● 72 saatten fazla süredir IP değiştirmeyen cihaz (MAC) olursa uyar

● 30 günden uzun süredir şifre değiştirmeyen kullanıcı olursa uyar

● En az 30 gündür veya daha uzun süredir networkde ses çıkarmayan (suskun, hiçbir aktivitesi olmayan) bir IP veya kullanıcı tekrar ses çıkarmaya başlarsa uyar

● First VPN connection from device for the user

● Abnormal session start time

● First connection from Source IP

● First access to device for the user

● First remote login to device for the user

● Credential switch to a privileged or execute sa

● First switch to target account sa for the user

● First access to database mssql for user

● Odd time of access (first and last access)

4- Ayrıca KVKK, BDDK, TCMB denetimleri ve 5651 için gerekli olan zaman damgası için de Graylog yetersiz kalır. Bunun için de ek bir şeyler yapmalısınız.

5- Eğer PCI gibi yönetmeliklerinin şartlarını eksiksiz yerine getirecekseniz canlı log önemli olur. Canlı log disk sıkıştırma özelliği Graylog’da mevcut değil, yani eğer yüksek EPS varsa bunun için çok disk harcarsınız. Düşük EPS lerde de canlı log disk sıkıştırma özelliği olan SIEM ve Log Yönetimi çözümlerine göre çok daha fazla disk kullanırsınız.

6- Eğer ücretsiz ve limitsiz versiyona https://github.com/airbus-cyber/graylog-plugin-correlation-count gibi açık kaynak eklentilerle korelasyon eklemek isterseniz bu mümkün, ama bu durumda SIEM korelasyon piramidinin 2. basamağındaki threshold tipi korelasyonların bile tamamını gerçekleyemezsiniz. Örnek:

Aynı IP farklı hedef portları 5 dakikada 50 tane erişim yaparsa tespit et

SIEM korelasyon piramidinin detayları için aşağıdaki makaleye bakabilirsiniz.

https://www.linkedin.com/pulse/siem-korelasyon-piramidi-ertugrul-akbas/

7- Bunun dışında Ücretsiz ve limitsiz sürümünde logların indexleri olan “indices” sayısı limitli. Ayrıca bir index’in en fazla kaç GB olacağıyla ilgili de limit vardı.

8- Graylog arkada Elasticsearch kullanır. Elasticsearch disk kullanımı Humio bunu Splunk da dahil karşılaştırmış. Replica olmadan yapılan karşılaştırma sonuçları aşağıda