Herkes Annesinin Karnından SIEM Uzmanı Olarak Doğmuyor
Herkes annesinin karnından SIEM ürün uzmanı olarak doğmuyor elbette. Güçlü bir SIEM ürünü seçerken basit olarak nelere dikkat etmeniz gerektiğini kısa ve öz olarak 3 adımda aktarmaya çalıştım.
1) Loglardaki Bütün Alanları Indeksleyerek Canlıda Uzun Süre Log Tutabilme Kabiliyeti
Soru: Loglardaki bütün alanlaerın indekslenmesi neden önemli?
Eğer logdaki bütün alanlar, Fortigate Firewall logundaki yaklaşık 60 alanın tamamı, Windows logundaki SID, Application Instance ID, Client Context ID, Logon GUID, Package Name gibi her alan indekslenmezse lazım olduğunda indekslenmeyen veriye ulaşılamaz. Bütün alanların indekslenmemesinin altında yatan ise disk boyutunu azaltmaktır.
Ayrıca bu alanlar gereksiz olsa, son kullanıcı için lazım olmasa Checkpoint, Fortinate, PaloAlto, Microsoft, Vmware gibi binlerce firma loglarına bu alanları eklemezdi.
Soru: Uzun süre (En az 1 yıl) canlıda log tutmak neden önemli?
KVKK, GDPR gibi regülasyolar, IBM gibi kuruluşların araştırmaları ve Solarwinds olayı gibi yaşanan saldırıları göstermiştir ki logları 1 yıla yakın bir süre ve eğer imkan varsa daha da uzun süre canlıda tutmak gerekir. Aşağıdaki makalede detayları bulabilirsiniz.
Soru: Peki 1 yıl boyunca canlıda log tutabilmek için ne kadar disk alanı gerekmektedir?
Cevap: Ortalama 3000 EPS, maksimum 5000 EPS için 1 yılda 5 TB olması makul değerlerdir.
2) Alarm ve Korelasyon Kabiliyeti
Çok fazla karıştırılan bir durum. Unutmayın ki her alarm bir korelasyon değildir. Alarm ile korelasyon arasındaki farkı anlamanız için aşağıdaki örneklerden faydalanabilirsiniz.
Alarm Örnekleri:
• X dakika içerisinde Y kere başarısız oturum açma isteği
• Paylaşılan klasörlere yetkisiz erişimin tespiti
• Brute Force, DDoS saldırıları
• External TCP Flood, HTTP Flood, Port Tarama
Korelasyon Örnekleri:
• Bir kullanıcı oluşturulduktan sonra aynı kullanıcı 15 dakika içinde silinirse uyar.
- 15 dakika içerisinde hiç başarılı oturum açmadan 3’den fazla başarısız oturum olayı oluşturan kullanıcıyı tespit et ve uyar.
Detaylar için aşağıdaki makaleye bakabilirsiniz.
3) Sistem Performansı
Örnek olarak ortalama 1500 EPS, maksimum 3000 EPS için ve en az 100 ileri seviye korelasyon kuralı ile birlikte son 1 ay içerisinde en çok saldırı yapan IP adreslerinin raporunu çekerken (24 Core CPU, 128 GB RAM, En az 15000 RPM) tek bir sunucuda korelasyon yapmaya devam ederken dakikalar içerisinde sağlıklı bir şekilde verebilmeli. Eğer performans metriklerine dikkat ederek bir seçti ve kullanıyor iseniz bu süreyi 6 aya da çıkarabilirsiniz.
