Makul Disk Miktarları İle Elasticsearch İle Yapılamayacaklar Listesi -1-
Elasticsearch yadsınamaz hızına rağmen gerekli disk miktarı olmazsa bu performansı gösteremez. Aşağıdaki örnek disk miktarları için yapamayacaklarına örnekleri paylaşacağım.
Ortalama 1000 EPS, maksimum 2500 EPS için 500 GB disk ile
Ortalama 2500 EPS, maksimum 5000 EPS için 1,25 TB disk ile
Ortalama 5000 EPS, maksimum 10000 EPS için 2,5TB disk ile
Ortalama 10000 EPS, maksimum 15000 EPS için 5TB disk ile
Ortalama 20000 EPS, maksimum 30000 EPS için 10TB disk ile
Ortalama 30000 EPS, maksimum 40000 EPS için 15TB disk ile
Ortalama 40000 EPS, maksimum 50000 EPS için 20TB disk ile
Ortalama 100000 EPS, maksimum 150000 EPS için 50TB disk ile
Aşağıdaki senaryoları yapamaz
✅ Bugün itibari ile 180 gün önceye gidip, o gün içinde firewall a yapılan başarısız oturumların listesini 3–5 dakika içinde alamaz,
✅ Son 180 gün içerisindeki bütün firewall a yapılan başarısız oturumların listesini en fazla birkaç saatte alamaz,
✅ Son 6 ay içerisinde X hedef IP sine erişen cihazların listesini en fazla birkaç saatte alamaz,
✅ Kendi kullanıcınızın son 6 ay içerisindeki bloklanan ve tehdit istihbaratı listesinde olmayan ve UDP protokolu kullanan hedef IP lerin listesi en fazla birkaç saatte alamaz,
✅ Kendi kullanıcınızın son 6 ay içerisindeki Firewall tarafından bloklanmayan ama tehdit istihbaratı listesinde olan kullanıcı erişim raporunuzu logun orijinal hali (Firewalldan çıktığı hali) ile birlikte listesini en fazla birkaç saatte alamaz,
✅ Son 6 ay içinde SA hangi databaselere login olmuş ve hangi queryleri çalıştırmış raporunu en fazla birkaç saatte alamaz,
✅ X servis hesabının son 6 ay içerisinde yaptığı bütün işlemler (Firewall dahil) raporunu en fazla birkaç saatte alamaz,
✅ Son 1 aydır hiç trafik üretmeyen makinelerin listesini en fazla birkaç saatte alamaz,
✅ Son 6 ay içerisinde X veya Y tablolarına (kişisel veri içeren tablolar) veya dosya sunucusundaki A veya B dosyasına (kişisel veri içeren dosyalar) erişenlerin listesi, daha sonra bu listedeki kullanıcıların son 6 ayda eriştiği bütün URL ve IP lerin port bilgileri dahil listesi ve en son olarak da son 6 ay içerisinde bu listedeki IP veya URL lere erişen diğer kullanıcıların listesine en fazla birkaç saatte alamaz,
✅ Saldırı için kullanıldığı çok sonra ortaya çıkan/deşifre olan bir siteye örnek: deftsecurity[.]com (Solarwinds olayında olduğu gibi) son 6 ay içinde kendi sisteminizden erişenlerin listesini en fazla birkaç saatte alamaz,
✅ Son 6 aydır kullanılmayan firewall kurallarının listesini en fazla birkaç saatte alamaz,
✅ Örneğin SolarWinds hack ile ilişkili avsvmcloud.com sitesine şirketinizden son 6 ay içinde erişen var mı sorusu kritiktir. Bugün solarwinds yarın başka bir şey. Bu listeyi en fazla birkaç saatte alamaz,
✅ Son 6 ay içerisinde solarwinds sunucularına DNS sorgusu yapanların listesini en fazla birkaç saatte alamaz,
✅ Son 6 ay içinde AV veya Endpoint Security de exception isteyen hep aynı kullanıcılarsa şüphelidir, listesini en fazla birkaç saatte alamaz,
✅ Son 6 ay içinde güncellemeleri alırken problem çıkan hep aynı kullanıcılarsa şüphelidir, listesini en fazla birkaç saatte alamaz,
✅ Şüphelendiğiniz bir kullanıcının son 6 ay içerisindeki aktivitelerin listesini en fazla birkaç saatte alamaz,
✅ Herhangi bir kullanıcı son 6 ay içerisinde kaç defa mov dosyası indirdi raporunu en fazla birkaç saatte alamaz,
✅ Son 6 aydır dosya sunucusuna erişim yapmayan kullanıcıların listesini en fazla birkaç saatte alamaz,
✅ Son 6 ay içerisinde kapanan sunucu listesini en fazla birkaç saatte alamaz,
✅ Son 6 ay içinde aylık tehdit istihbarat listesine takılma sayıları nedir raporunu en fazla birkaç saatte alamaz,
✅ Son 6 ay içinde aylık tehdit istihbarat listesine en çok takılma kullanıcıların listesini en fazla birkaç saatte alamaz,
✅ Son 6 ay içinde aynı hedef domain e erişirken firewall tarafından bloklanan kullanıcılar hangileri? sorusuna en fazla birkaç saat içinde cevap veremez,
✅ Son 6 ay içerisinde örnek olarak avsvmcloud[.]com hedef IP sine erişen cihazların listesini kaynak port ve kullanıcı adı ile birlikte listesini en fazla birkaç saatte alamaz,
Hatta değil birkaç saatte birkaç günde ve hatta bu disk miktarı veya bunun iki katı disk ile bile birkaç haftada bu sonuçları getiremez. Bir sonraki yazımda bu senaryoların 12 aylık süre için olan versiyonlarını ve disk miktarlarını vereceğim.
