Canlı Log Nedir? Loglar Neden Canlıda Durmalı?
Uçaklarda kara kutu neyse siber güvenlikte de log odur. Kara kutuya ne kadar hızlı erişmek istersiniz?
Sisteminizde bir veri ihlali, saldırı olduğunda ya da bir kullanıcı veya cihaz aktivitesi ile ilgili rapor hazırlamanız gerektiğinde, denetimlerde başvuracağınız ilk kaynak kullandığınız SIEM çözümü olacaktır.
En temel SOC sorgularından biri olan “Son 12 ay içerisinde X hedef IP ye kaç cihaz erişim yaptı?” sorusuna cevabı ne kadar hızlı alırsanız o kadar hızlı tepki verebilirsiniz.
Log yönetiminde hız=Canlı log
Bu tür yüzlerce sorguya cevap için günlerce beklememek için logları canlıda tutmalısınız. Bunu yaparken de diski optimize tutmazsanız disk maliyetleri SIEM lisans maliyetlerini geçebilir.
Yukarıda sıraladığım durumlar ve bunlara benzer durumlarda arşiv işinizi çok zorlaştıracaktır. Konu ile ilgili aşağıdaki makale listesine bakabilirsiniz.
