Canlı Log Neden Kritik? Arşiv Neden Yetersiz?
Aşağıda arşiv ile çözülemeyecek ve canlı olarak logları tutmayı gerektiren senaryoları bulacaksınız. Bu senaryoların hepsi BDDK, EPDK, 5651, KVKK, ISO27001, PCI, savcılık ve benzeri denetimlerde son kullanıcının ihtiyacı olan veya doğrudan sorulan sorulardır. Aşağıdaki senaryoların hepsi yaşanmış, gerçek senaryolardır.
1. Logları 12,24,36 ay geriye dönerek SSD veya Flash disk bile kullanmadan dakikalar içerisinde erişebilir ve en önemlisi hukuksal bir durumda veya kritik ve acil durumlarda rakiplerin loga ulaşmak için 3–4 gün ve daha uzun süre harcayacağı bir durumda bunu saatlere indirebilirsiniz.
2. KVKK, BDDK, EPDK gibi denetimlerde işinizi inanılmaz kolaylaştırır ve zaman kazandırır. Çok önceki loglara erişmeniz gerekebilir. Böyle durumda logları canlıda uzun süre tutabilmek büyük avantaj sağlar. Özellikle denetimlerde son 1 sene içinde SA ın hangi databaselere login olduğu, hangi queryleri çalıştırdığı gibi sorular rutin denetim prosedürü olarak karşınıza çıkar. Bu raporları tek tık ile alırsınız. Müthiş kolaylık ve rahatlık.
3. Son 6 ayda en çok erişilen sitelerin listesi veya bir kullanıcının sın 6 ay içerisinde erişim yaptığı sitelerin listesi, Bir IP adresinin en çok girdiği 50 sitenin 3 aylık raporu, Bir siteye son 6 ayda en çok giren 10 IP adresinin raporu gibi uzun zaman aralıklı analiz ihtiyaçlarınızı karşılamanızı sağlar.
4. İllegal bir durumdan ötürü savcılık veya kanun sizden log istediğinde kuruma sadece bir Public IP listesi gelir ve tarih belirtmeksizin bu IP’lere trafik oluşturan kullanıcıların tespit edilmesi istenir. Tarih belirtilmediği için hangi tarihleri arşivlerden döneceğinizi soramazsınız.
5. Saldırıların tespit süresi dünyada ortalama 280 gündür. Sizin de güvenlik analizlerinizi 280 gün veya daha uzun bir süre için yapmanızı gerekebilir, bunu logları uzunca süre canlıda tutarak yapabilirsiniz.
6. Arşivden canlıya çekme sürecinin zaman ve enerji kaybını ve bunun tekrarlanmasından dolayı ortaya çıkacak iş kaybı ve bıkkınlığı önler. Özellikle arşivden dönülecek zaman aralığı 7 gün, 30 gün gibi günler mertebesinde ise bu süreç bıktırıcı olabilir.
7. Hem zaman, hem iş yükü hem de stresten kurtulabilirsiniz.
8. Logların her an elinizin altında ve ulaşılabilir olmasını sağlar.
9. Bilinen SIEM ler ile arşivden 6 ay önceki 20–30 günlük bir zaman dilimine geriye gidip log aramak ortalama 3–5 gün sürer, bir harf yanlış yazılsa 3–5 gün çöp olur. Arşiv aramalarında tekrar çok pahalı bir operasyondur. Bunu ortadan kaldırır.
10. Sisteminizde gerçek manada güvenlik analizleri yapabilirsiniz. Logları 2–3 yıl anında erişilebilir (canlı) tutabilmek size ağınızın görünürlüğünü 6,14,30 günden 1000 güne kadar uzatır
a. · Login failed raporları aylara göre artmış mı?
b. · Son 1 sene içinde kullanıcı yetki değişikliği nelerdir?
c. · Her ay ne kadar portların tarandığı
d. · Bir ip son 6 ay için kaç kere ulaşmaya çalışmış
· Her ay hangi ülkelerden daha fazla istek ve tarama geliyor. Bu aylara göre karşılaştırmaları
11. Gerçek bir senaryo: Personel 2021 Temmuz ayında yönetime “Ortak Alan’da bazı dosyalar yok” diye talepte bulunmuş.
IT ekibi, SureLog SIEM kullanarak toplam 2 saat içerisinde bu personelin kendi bilgisayarından, kendi kullanıcısı ile 2021 Ocak ayında dosyaları kendisinin silmiş olduğunu ortaya çıkarmış ve gerekli raporları oluşturarak yönetime sunmuş. Yani 6 ay önce.
Bunu en az 6 ay canlıda tutmasalardı arşivden günlerce uğraşarak bile bulamayabilirlerdi!
12. Yine bir üniversiteden örnek vereyim. Kullandıkları SIEM çözümünde ortalama 1000 EPS trafik var. İstedikleri 2 IP nin son 1 yıl içerisindeki erişim listesi. Kullandıkları SIEM ile bu raporun hazır olma süresi 1 ay. SureLog SIEM de ise en iyi 5 saat, en kötü 24 saatte hazır olur
13. KVKK veri ihlalinde ihlal ildirim süresi maksimum 72 saattir.
Ayrıca kurum veya KVKK kapsamında herhangi birinin size sorduğu soruya cevap süresi de 30 gündür. Dolayısı ile
“İhlalin yapıldığı verilerin tutulduğu sunucuya son 6 ay içerisinde erişenlerin listesi”
Kuruma ait kişisel verilerin bulunduğu sitelere son 6 ay içerisinde erişenlerin listesi gibi onlarca ihtiyacınız olan bilgiye 72 saatten önce ulaşıp gerekli bildirip için hazırlanıp kuruma haber vermeniz gerekecek, bunun için de hıza ihtiyacınız olacaktır.
14. “Son 12 ayda bu IP adresine kaç cihaz erişti” temel SOC süreçlerinde ihtiyaç duyulan sorgulardan biridir ve bu tarz sorguların hızlı bir şekilde yanıtlanması gerekir.
SureLog SIEM dünyada logları canlıda en az disk kullanarak en uzun süre tutabilen SIEM çözümüdür.
