Elasticsearch, Wazuh, Graylog, Ossec, Ossim, Yelp/Elastalert, Security Onion ve SIEMonster Gibi Açık Kaynak Ürünlerin Canlı Log, Korelasyon, Arşiv Log Açısından Değerlendirmeler

Elasticsearch:

  • Yelp/Elastalert korelasyon motorunun çapraz bağlama yeteneği mevcut değildir,
  • Yelp/Elastalert korelasyon motorunun adımlarını takip etme yeteneği yoktur,
  • Aktif liste kullanma yeteneği çok kısıtlıdır [2],
  • Operatörleri çok kısıtlıdır[3,4,5].
  • Correlation Field(Filter) Operatorleri çok kısıtlıdır [3,4,5]

Wazuh:

<rule id="5716" level="5">
<if_sid>5700</if_sid>
<match>^Failed|^error: PAM: Authentication</match>
<description>SSHD authentication failed.</description>
<group>authentication_failed,pci_dss_10.2.4,pci_dss_10.2.5,</group>
</rule>
  • Aktif liste kullanma yeteneği çok kısıtlıdır [2],
  • Operatörleri çok kısıtlıdır[3,4,5].
  • Correlation Field(Filter) Operatorleri çok kısıtlıdır [3,4,5]

Graylog:

  • Aktif liste kullanma yeteneği çok kısıtlıdır [2],
  • Operatörleri çok kısıtlıdır[3,4,5].
  • Correlation Field(Filter) Operatorleri çok kısıtlıdır [3,4,5]

Ossec:

Ossim:

  • Aktif liste kullanma yeteneği yoktur,
  • Operatörleri çok kısıtlıdır[3,4,5].
  • Correlation Field(Filter) Operatorleri çok kısıtlıdır [3,4,5]

Security Onion:

SIEMonster:

  1. https://drertugrulakbas.medium.com/siem-korelasyon-piramidi-e40be8cc41ce
  2. http://www.frankcardinale.com/2020/04/15/siem-lists-and-design-considerations/
  3. https://www.itcentralstation.com/articles/the-math-of-siem-comparison
  4. https://www.itcentralstation.com/articles/how-to-select-the-right-siem-solution
  5. https://www.itcentralstation.com/articles/what-really-matters-when-selecting-a-siem-and-how-to-choose-a-siem-looking-into-the-correlation
  6. https://lucidworks.com/post/estimating-memory-and-storage-for-lucenesolr/
  7. https://www.exabeam.com/siem-guide/siem-architecture/
  8. https://documentation.wazuh.com/current/learning-wazuh/build-lab/install-elastic-stack.html
  9. https://www.graylog.org/products/open-source-vs-enterprise
  10. https://docs.graylog.org/v1/docs/elasticsearch
  11. https://cybersecurity.att.com/products/ossim
  12. https://docs.securityonion.net/en/latest/elastalert.html
  13. https://docs.securityonion.net/en/latest/elasticsearch.html
  14. https://gitlab.com/siemonster-kubernetes/praeco
  15. https://siemonster.com/community-edition/
  16. https://github.com/siemonster/elasticsearch

--

--

--

Entrepreneur,Security Analyst,Research.

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Ertugrul Akbas

Ertugrul Akbas

Entrepreneur,Security Analyst,Research.

More from Medium

Housekeep your local image registry

Open Source Evangelist

Building your own PaaS powered by Dokku

readyz and livez: Getting started with Kubernetes health endpoints using NodeJS/Express