SIEM Çözümlerinde Performans- CPU, RAM, Disk-

Konuyu çok eskiye götüreyim. 2015 yılında bir makale yazmıştım [1]. Bu makale korelasyonun performansa etkisini anlatıyordu. Bu makale 2015 yılında yazmama rağmen aynı zamanda benim Acedemia [2] da en çok indirilen (download) ve okunan makalelerimden biri. Aynı makale Researchgate [3] de de 5000 e yakın bir görüntülenme (view) sayısına sahip. Konuya buradan başlamamın sebebini anlamışsınızdır. Eğer kararlı (stable) bir SIEM den bahsediyorsak EPS veya günlük log dosyası büyüklüğüne göre üreticiler size net sistem kaynağı gereksinimlerini söyleyebilir. Sadece özellikle 5000 EPS üstü kararlı çalışmayan sistemler için bu bilgileri net alamazsınız. Korelasyon kural sayısı ve kuralların gelişmişliği özellikle RAM miktarını, özellikle de in-memory correlation yapan ürünlerde çok etkiler[4].

Kuralların sayınızın 30 olması ile 100 olması çok fark eder ayrıca SIEM Korelasyon Piramidine[5] göre 1. ve ikinci basamaktaki kurallar ve bu basamakların üstündeki kurallar kuralların performansı etkilemesi açısından kural sayısından daha etkilidir.

Diğer bir konu ise anında arama ve raporlama yapabilmek için ihtiyaç duyulan indexler ve bunların disk maliyetleridir. Bu konu ile ilgili aşağıdaki makalelere bakılabilir.

Son olarak da sistemin EPS değerleri ve günlük toplanan log miktarının büyüklüğüne göre ihtiyaç duyulan sistem kaynaklarına bakalım.

EPS veya günlük log miktarı arttıkça kaynak ihtiyacının artacağı malumdur. Bu artışın lineer veya lineere yakın bir şekilde artıp artmadığı, daha da kötüsü üstel bir fonksiyon olarak mı? Arttığı sorusuna cevap alınması gerekir.

Bazen daha da kötüsü olur ve siz kaynakları planlamanızın çok üstünde arttırsanız bile istediğiniz verimi alamazsınız. Bu tür durumlar başa gelmemesi için bunların bir şartname şeklinde yazılı teyit haline getirilmesi önemlidir.

Aşağıda sistem kaynakları haricinde diğer maliyet kalemlerine de değindiğim bir makalemi bulabilirsiniz.

Referanslar

  1. https://www.slideshare.net/anetertugrul/log-korelasyon-siem-kural-ornekleri-ve-korelasyon-motoru-performans-verileri
  2. https://www.academia.edu/14492260/Log_Korelasyon_SIEM_Kural_Ornekleri_ve_Korelasyon_Motoru_Performans_Verileri
  3. https://www.researchgate.net/publication/314187274_Log_Correlation_SIEM_Rule_Examples_and_Correlation_Engine_Performance_Data
  4. https://www.linkedin.com/pulse/siem-korelasyon-%C3%A7%C3%B6z%C3%BCmlerinde-aktif-kural-say%C4%B1lar%C4%B1-ve-gerekli-akbas/
  5. https://drertugrulakbas.medium.com/siem-korelasyon-piramidi-e40be8cc41ce

Entrepreneur,Security Analyst,Research.

Entrepreneur,Security Analyst,Research.