Gerçek SIEM Korelasyon Motorunun Faydaları

SIEM çözümlerinin bir korelasyon motoruna sahip olmasının avantajları nelerdir bunu çok basit bir örnekle anlatmaya çalışacağım. Öncesinde ise alarm üretmenin kaç farklı yöntemi var ondan bahsetmek istiyorum. İki farklı yöntemle alarm üretilebilir

• Korelasyon motoru
• Periyodik olarak sorguları çalıştırmak

Bu yöntemlerin detaylı analizi için aşağıdaki makaleye bakılabilir.

Comparison of Detection Methodologies in SIEM. Correlation and Search.

Korelasyon motorunun avantajlarından biri gerçek zamanlı ve hafızada gerçekleşmesidir. Bunu aşağıdaki örnekle açıklamaya çalışalım.

Firewall DNS server dan gelen request leri blokluyor. Biz de bu request i yapan client ı bulmak istiyoruz. Bunu bulmak için “Aynı saniye için de DNS sunucuya gelen client request leri ile firewalldan bloklanan DNS sorgusunu eşleştirmek” şeklinde bir korelasyon işimize yarar. Bunu periyodik sorgu ile yapmaya kalkarsak bunu her saniye çalıştırmamız gerekir yani periyodu 1 saniye olmalı. Bunun sistemde meydana getireceği yükü hesap edin! Bir de eğer bunun gibi 50 tane senaryo olduğunu düşünün.

Çok basit bir senaryo tipi için bile periyodik sorgular ile sistemin çok ciddi sistem kaynağına ihtiyaç duyabileceğini böylece görmüş olduk. Korelasyon ile ilgili daha detaylı analizleri aşağıdaki makalelerde bulabilirsiniz.

The Math of SIEM Comparison.

Comparing Detection Capabilities of SIEM Solutions with Their Costs

What Really Matters When Selecting a SIEM and How to Choose a SIEM Looking into the Correlation?

How to Select the Right SIEM Solution?