Open in app

Sign in

Write

Sign in

Bir SIEM Seçerken Kötü Bir Tercih Yapmaktan Nasıl Kaçınırız?

Ertugrul Akbas
3 min readJan 26, 2020

--

En temelde aşağıdaki parametrelere bakmak gerekir.

Log Kaçırma

Öncelikle log toplama kapasitesine bakmak lazım. Mesela eğer ufak bir şirket değilsek 3500 EPS in üzerine çıkabiliyor mu seçeceğim SIEM. Bunu gerçekten ürünü kullanan sizin büyüklüğünüzde veya daha büyük bir referanstan ve teknik insanlardan yani o SIEM i her gün kullanan insanlardan sormak gerekir. Kurum yöneticileri veya o teknik insanları yönetenler her zaman doğru referans noktası olmayabilir. Böyle bir çalışma sağlıklı yapılmazsa SIEM log kaçırır ama siz fark etmezsiniz. Fark ettiğinizde de iş işten geçmiş olur [1]. Eğer kendiniz test etmek isterseniz, bu da mümkün [2].

EPS konusunda

  • Ne kadar CPU/RAM veya disk hızı (SSD vb..) verirseniz verin max 1000 EPS i geçemeyen çözümler,
  • Cluster da max 3000 EPS i geçemeyen çözümler,
  • Max 7000 EPS için 48 core, 256 RAM ve SSD diski fiziksel makinada ihtiyaç duyan yani yüksek isterlere sahip çözümler,
  • Üretici tarafından çok özel şartlarda 5000 EPS e çıkabileceği, normal kullanımda ise 1500 EPS tavsiye edildiği çözümler,
  • 1500 EPS üstünü buffera atıyor sonra işliyor, 3000 EPS üzerini buffera atıyor sonra işliyor diyen çözümler var. Unutmayın ki sonsuz buffer yoktur. Biz zaman sonra buffer dolunca ya bu loglar kaçacak ya da sistem patlayacakdır. Buffera atıyoruz çözümlerinde unutulmamalıdır ki zaten sistem yetişebilse buffer a atmayacakdır. Yetişemediği için buffera atar ve buffer kısıtlı bir hafıza alanıdır. Bufferı diske yazıyoruz diyenlerden ise uzak durun çünkü devreye I/O hızı girer ki sonucu felaket olur,
  • Maksimum 2500 EPS a kadar çıkabilen ve bunun için de 16 core, 256 GB RAM ve 400 üzeri IOPS isteyen ve eğer bu isterler sağlanmazsa log kaçırma veya bir problemde yurt dışına açılan destek taleplerine doğru kaynaklara kurmadınız denilip olumsuz yanıt dönülen çözümler,
  • Tavsiye edilen sistem kaynağı ve konfigurasyon sağlanmadan ve best case lere uymadan kurulan bazı çözümlerde ise Tcpdump veya Wireshark ile işletim sistemi seviyesinde cihaza log geldiğini görmenize rağmen SIEM sisteminde görülmediği ve log kaybı olduğu, üreticiye en üst mühendislik seviyesinde destek talebinde bulunulmasına rağmen yıllardır çözülemeyen çözümler

gibi değişik senaryolar mevcuttur.

Disk İhtiyacı

Diğer bakılacak özellik ise disk ihtiyacı. İki türlü disk ihtiyacı vardır.

  • Canlıda log tutmak için ihtiyaç duyduğu disk miktarı: Örnek olarak ortalama 1000 EPS ve maksimumda 2500 EPS olan bir ortamda ben canlıda logları 6 ay tutmak istersem ne kadar disk ihtiyacım olur? 1 yıl tutmak istersem ne kadar disk ihtiyacım olur? Dünyada saldırıların ortalama tespit süresi 6 ay civarıdır. Dolayısı ile canlıda arama süresinin 6 ay civarında olması tespit için fonksiyonel olacaktır. Denetimler ve diğer ihtiyaçlar için de 1 yıl canlıda tutabilmek [3] iyi olur.
  • Arşivlemek için ihtiyaç duyacağı disk ihtiyacı.

Ayrıca bazı sistemler 200 milyon sınırına ulaşınca eski logları ezmeye başlar, bu handikabı bertaraf etmek için önerilen ek çözümler ise forensic analizde işe yaramaz.

Log tutma ve disk ihtiyacı ile ilgili aşağıdaki makalede ürünler ve kullandıkları teknolojiler ile ilgili detaylı bir çalışma bulabilirsiniz.

SureLog, QRadar, ArcSight, Splunk, McAfee, LogSign, CRYPTOSIM, AlienVault SIEM Çözümlerinde KVKK…

Logların diskte saklanması ve geriye doğru sorgulanabilmesi ile ilgili çeşitli teknolojiler ve bu teknolojilerin…

medium.com

Arşiv Yönetimi

Logları arşivlediniz. Bu arşivlerden logları aramak ne kadar iş yükü çıkarıyor? Daha da ötesinde ben bu loglardan geri dönüp mart ayı içerisinde hangi IP en çok firewall tarafından bloklanmış diye istatistiksel veri bulmak istesem ne kadar iş yüküm olacak? Bu soruların hepsi sorulmalı. Ayrıca arşivden geri dönmek ne kadar iş yükü çıkaracak. Bazı çözümlerde

  • Önce tarih aralığını belirlemek,
  • Sonra ziplenmiş bu log dosyalarını açmak,
  • En son index oluşturmak gerekir.

Eğer arşivdeki herhangi bir 15 gün için bunu yapmak isteseniz iş yükünü tahmin edin.

Bazı çözümlerde ise indexler de arşivlenir. Dolayısı ile o tarihe gidip dosyaları sisteme geri yüklemek yeterlidir [4].

Korelasyon

Korelasyon konusunda işini iyi bilen birisine danışmanız en iyi yöntem olurdu. Ayrıca aşağıdaki çalışmayı inceleyebilirsiniz.

En İyi SIEM Hangisi

En iyi SIEM tanımı herkese göre değişebilir.

medium.com

Referanslar

  1. https://medium.com/@eakbas/siem-ve-log-y%C3%B6netimi-sistemleri-neden-log-ka%C3%A7%C4%B1r%C4%B1r-76222e2bbc80
  2. https://www.slideshare.net/anetertugrul/siem-log-ynetimi-ve-5651-projelerinin-performans-ve-log-kairip-kairmadiinin-testleri-nasil-yapilir
  3. https://medium.com/@eakbas/siem-i%CC%87%C3%A7in-canl%C4%B1da-log-tutma-ve-araman%C4%B1n-%C3%B6nemi-3d3142f73f60
  4. https://medium.com/@eakbas/surelog-qradar-arcsight-splunk-mcafee-logsign-cryptosim-alienvault-siem-389bd822b602
Siem
Log Kaçırma
Kvkk
Eps
Siem Seçimi

--

--

Ertugrul Akbas
Ertugrul Akbas

Written by Ertugrul Akbas

460 Followers
8 Following

Entrepreneur,Security Analyst,Research.

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams