Elasticsearch, Wazuh, Graylog, Ossec, Ossim, Yelp/Elastalert, Security Onion ve SIEMonster Gibi Açık Kaynak Ürünlerin Canlı Log, Korelasyon, Arşiv Log Açısından Değerlendirmeler

Elasticsearch:

  • Yelp/Elastalert korelasyon motorunun çapraz bağlama yeteneği mevcut değildir,
  • Yelp/Elastalert korelasyon motorunun adımlarını takip etme yeteneği yoktur,
  • Aktif liste kullanma yeteneği çok kısıtlıdır [2],
  • Operatörleri çok kısıtlıdır[3,4,5].
  • Correlation Field(Filter) Operatorleri çok kısıtlıdır [3,4,5]

Wazuh:

<rule id="5716" level="5">
<if_sid>5700</if_sid>
<match>^Failed|^error: PAM: Authentication</match>
<description>SSHD authentication failed.</description>
<group>authentication_failed,pci_dss_10.2.4,pci_dss_10.2.5,</group>
</rule>
  • Aktif liste kullanma yeteneği çok kısıtlıdır [2],
  • Operatörleri çok kısıtlıdır[3,4,5].
  • Correlation Field(Filter) Operatorleri çok kısıtlıdır [3,4,5]

Graylog:

  • Aktif liste kullanma yeteneği çok kısıtlıdır [2],
  • Operatörleri çok kısıtlıdır[3,4,5].
  • Correlation Field(Filter) Operatorleri çok kısıtlıdır [3,4,5]

Ossec:

Ossim:

  • Aktif liste kullanma yeteneği yoktur,
  • Operatörleri çok kısıtlıdır[3,4,5].
  • Correlation Field(Filter) Operatorleri çok kısıtlıdır [3,4,5]

Security Onion:

SIEMonster:

  1. https://drertugrulakbas.medium.com/siem-korelasyon-piramidi-e40be8cc41ce
  2. http://www.frankcardinale.com/2020/04/15/siem-lists-and-design-considerations/
  3. https://www.itcentralstation.com/articles/the-math-of-siem-comparison
  4. https://www.itcentralstation.com/articles/how-to-select-the-right-siem-solution
  5. https://www.itcentralstation.com/articles/what-really-matters-when-selecting-a-siem-and-how-to-choose-a-siem-looking-into-the-correlation
  6. https://lucidworks.com/post/estimating-memory-and-storage-for-lucenesolr/
  7. https://www.exabeam.com/siem-guide/siem-architecture/
  8. https://documentation.wazuh.com/current/learning-wazuh/build-lab/install-elastic-stack.html
  9. https://www.graylog.org/products/open-source-vs-enterprise
  10. https://docs.graylog.org/v1/docs/elasticsearch
  11. https://cybersecurity.att.com/products/ossim
  12. https://docs.securityonion.net/en/latest/elastalert.html
  13. https://docs.securityonion.net/en/latest/elasticsearch.html
  14. https://gitlab.com/siemonster-kubernetes/praeco
  15. https://siemonster.com/community-edition/
  16. https://github.com/siemonster/elasticsearch

--

--

--

Entrepreneur,Security Analyst,Research.

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Ertugrul Akbas

Ertugrul Akbas

Entrepreneur,Security Analyst,Research.

More from Medium

Custom Autoscaling for GitLab Kubernetes Executors

mTLS with Apache HTTP server

PoC: Using MQTT over Secure WebSocket to Reduce Open Port of Netmaker v0.14.0

What makes a good audit trail?