Open in app

Sign in

Write

Sign in

Elasticsearch ve Elasticsearch Temelli SIEM Kullananlar Ne Diyor?

Ertugrul Akbas
3 min readOct 28, 2022

--

Elasticsearch gerekli ve yeterli kaynak verildiği zaman çok hızlı arama yapabilir. Ayrıca açık kaynak ve bedava sürümü olduğu için de çok ama çok yaygındır. Elasticsearch’ün bu nimetlerinden faydalanmak da doğal olarak insanların veya şirketlerin aklına gelir.

Bütün bu avantajlarına karşın Elasticsearch altyapısının 2 dezavantajı vardır:

1- Loglarda arama yapmak için indekslemek gerekir. Son kullanıcıyı duyarsa korkutacak kadar yüksek disk miktarını indexlemek için kullanır. Bunun için de genelde bu son kullanıcıya söylenmez.

2-Yüksek EPS değerleri için insert zamanı yavaştır.

Yukarıdaki konuların detaylarını, kaynak kullanımının nedenlerini, Apache Lucene den başlayarak matematiksel formüllerini yüzlerce defa paylaştım ve medium hesabımda da yazdım. Şimdi Elasticsearch veya Elasticsearch temelli SIEM kullanmış veya kullananlar ne diyor? Onları paylaşacağım.

İlk paylaşacağım anket Elasticsearch temelli bir SIEM ile aşağıdaki problemleri yaşadınız mı? diye sorduğum anket sonuçları var.

İkinci paylaşacağım anket yine benzer soruları sorduğum ve birinciden aylar önce yaptığım bir anket. Yukarıdaki anketi aşağıdaki anketten aylar sonra teyit etmek için yapmıştım. İkisi de birbirini teyit eder nitelikte iki sonuç. Bu iki ankette de “Hayır” diyenlere erişmeye çalıştım.

  • Firewallunuzdan internete çıkan kullanıcı sayısı nedir?
  • Kaç sunucudan log topluyorsunuz?
  • EPS değeriniz ortalama ve maksimum nedir?
  • Ne kadar süredir log topluyorsunuz?
  • Ne kadar süredir log biriktiriyorsunuz?
  • 1 günlük sorgu hızınız nedir, 1 haftalık nedir, 1 aylık nedir, 6 aylık nedir, 12 aylık nedir?
  • SIEM veya Log sunucuya verdiğiniz cpu, ram, disk nedir?
  • Ayrıca korelasyon kaç adet korelasyon kuralı kullanıyorsunuz?

Diye sordum. Şu ana kadar dönüş yapan olmadı.

Bir de bu konu ile ilgili anketlerde o veya bu şekilde oy kullanmamış son kullanıcılar için yorum da yapabileceği ve şeffaf olarak tecrübelerini paylaşabilmelerini kolaylaştırmak adına bir paylaşım yaptım

Buna da hiçbir kimse sorun yaşamıyorum diye yorum yapmadı

Ayrıca dünyadaki ticari firmaların elasticsearch den kaçtığını referansları ile paylaştım. Bu paylaşımda Amazon, Fortinet ve 50 milyon dolar yatırım almış bir UEBA firmasının referanslarını paylaştım ve yine itiraz ve yorum gelmedi. Bu paylaşımların view sayılarını da dikkatinizi çekerim.

Bu konuda son anket olarak “Bu güne kadar 2000 #EPS ve üstü olup, #elasticsearch veya elasticsearch kullanan bir #siem veya #log #yönetimi yazılımı ile son 6 ay içerisinde X (mit[.]edu gibi sizin kullandıklarınızdan birini seçerek deneyebilirsiniz.) adresine erişenlerin listesine en fazla birkaç saat içinde erişen bir çözüm görmedim.
Siz gördünüz veya kulandınız mı?” sorusunu sorduğum anketin sonucunu yayınlıyorum.

Evet diyen kitleye ulaşıp bilgi almak istediğimde ise kimsenin geri dönüş yapmadığını da not olarak belirteyim.

Yukarıda bir şekilde elasticsearch kullanmış veya kullanmaya devam eden insanların görüşlerini belirttiği anket ve paylaşımları paylaştım.

Umarım bu bilgiler faydalı olur.

Siem
Performans
Soc
Elasticsearch
Disk

--

--

Ertugrul Akbas
Ertugrul Akbas

Written by Ertugrul Akbas

460 Followers
8 Following

Entrepreneur,Security Analyst,Research.

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams