Bir SIEM Seçerken Kötü Bir Tercih Yapmaktan Nasıl Kaçınırız?

Log Kaçırma

  • Ne kadar CPU/RAM veya disk hızı (SSD vb..) verirseniz verin max 1000 EPS i geçemeyen çözümler,
  • Cluster da max 3000 EPS i geçemeyen çözümler,
  • Max 7000 EPS için 48 core, 256 RAM ve SSD diski fiziksel makinada ihtiyaç duyan yani yüksek isterlere sahip çözümler,
  • Üretici tarafından çok özel şartlarda 5000 EPS e çıkabileceği, normal kullanımda ise 1500 EPS tavsiye edildiği çözümler,
  • 1500 EPS üstünü buffera atıyor sonra işliyor, 3000 EPS üzerini buffera atıyor sonra işliyor diyen çözümler var. Unutmayın ki sonsuz buffer yoktur. Biz zaman sonra buffer dolunca ya bu loglar kaçacak ya da sistem patlayacakdır. Buffera atıyoruz çözümlerinde unutulmamalıdır ki zaten sistem yetişebilse buffer a atmayacakdır. Yetişemediği için buffera atar ve buffer kısıtlı bir hafıza alanıdır. Bufferı diske yazıyoruz diyenlerden ise uzak durun çünkü devreye I/O hızı girer ki sonucu felaket olur,
  • Maksimum 2500 EPS a kadar çıkabilen ve bunun için de 16 core, 256 GB RAM ve 400 üzeri IOPS isteyen ve eğer bu isterler sağlanmazsa log kaçırma veya bir problemde yurt dışına açılan destek taleplerine doğru kaynaklara kurmadınız denilip olumsuz yanıt dönülen çözümler,
  • Tavsiye edilen sistem kaynağı ve konfigurasyon sağlanmadan ve best case lere uymadan kurulan bazı çözümlerde ise Tcpdump veya Wireshark ile işletim sistemi seviyesinde cihaza log geldiğini görmenize rağmen SIEM sisteminde görülmediği ve log kaybı olduğu, üreticiye en üst mühendislik seviyesinde destek talebinde bulunulmasına rağmen yıllardır çözülemeyen çözümler

Disk İhtiyacı

  • Canlıda log tutmak için ihtiyaç duyduğu disk miktarı: Örnek olarak ortalama 1000 EPS ve maksimumda 2500 EPS olan bir ortamda ben canlıda logları 6 ay tutmak istersem ne kadar disk ihtiyacım olur? 1 yıl tutmak istersem ne kadar disk ihtiyacım olur? Dünyada saldırıların ortalama tespit süresi 6 ay civarıdır. Dolayısı ile canlıda arama süresinin 6 ay civarında olması tespit için fonksiyonel olacaktır. Denetimler ve diğer ihtiyaçlar için de 1 yıl canlıda tutabilmek [3] iyi olur.
  • Arşivlemek için ihtiyaç duyacağı disk ihtiyacı.

Arşiv Yönetimi

  • Önce tarih aralığını belirlemek,
  • Sonra ziplenmiş bu log dosyalarını açmak,
  • En son index oluşturmak gerekir.

Korelasyon

  1. https://medium.com/@eakbas/siem-ve-log-y%C3%B6netimi-sistemleri-neden-log-ka%C3%A7%C4%B1r%C4%B1r-76222e2bbc80
  2. https://www.slideshare.net/anetertugrul/siem-log-ynetimi-ve-5651-projelerinin-performans-ve-log-kairip-kairmadiinin-testleri-nasil-yapilir
  3. https://medium.com/@eakbas/siem-i%CC%87%C3%A7in-canl%C4%B1da-log-tutma-ve-araman%C4%B1n-%C3%B6nemi-3d3142f73f60
  4. https://medium.com/@eakbas/surelog-qradar-arcsight-splunk-mcafee-logsign-cryptosim-alienvault-siem-389bd822b602

--

--

--

Entrepreneur,Security Analyst,Research.

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Ertugrul Akbas

Ertugrul Akbas

Entrepreneur,Security Analyst,Research.

More from Medium

Digital Footprints

The Exploded Lunch — Report Five

The May 2022 PDPC Incidents and Undertaking — Privacy Ninja

UTM on Apple’s M1: File sharing with Debian 11 (XFCE)