SIEM: En Temel Parametreler

SIEM dediğinizde ilk aklımızı korelasyon, alarm, uyarı, tespit, aksiyon gelir. Bununla birlikte buraya gelene kadar irdelenmesi gereken daha temel parametreler vardır.

Bunlardan birincisi seçilecek ürünün log kaçırıp kaçırmadığıdır [1]. Pek çok sebepten sistem log kaçırabilir. Bunlardan en belirgin olanı sistem kaynaklarının verimli kullanılamamasıdır. Bazı üreticiler Disk I/O dan dolayı da yazılımlarında log kaybı olduğunu müşterilerine iletmektedir.

İkinci bakılacak paramete geçmiş logların nasıl yönetildiğidir. Bu noktada da ürünler çeşitlilik göstermektedir [2]. Bazı ürünler ile ilgili olarak üreticiler pek değinmese de bu ürünleri kullanlardan gelen “ arşivden bir dosya aramak neredeyse imkansız” gibi yorumlar olmaktadır. Geçmiş logların ne sıklıkla arşive kaldırılması gerektiği, arşivden nasıl arama yapıldığını ihtiyaçlar çerçevesinde test etmek gerekir.

Üçüncü parametre de disk ihtiyacıdır. Bu ikinci madde ile de doğrudan ilişkili olup örnek olarak canlıda 1 yıl veya arşivde 2 veya daha fazla yıl logu tutumak için ne kadar disk ihtiyacı olduğudur.

Aşağıdaki maddeler biraz daha SIEM e yönelik ve anca son kullanıcının bu teknik soruları üreticiye sorması durumunda farkın ortaya çıktığı özelliklerdir.

Dördüncü parametre taxonomy özelliğidir [3].

Beşinci parametre de korelasyon özelliğidir [4].

Dördüncü ve beşinci parametrenin detaylarını ilgili referanslara bıraktım.

Referanslar

1. https://www.slideshare.net/anetertugrul/log-ynetimi-sisteminizin-log-karp-karmadn-test-etmek-ister-misiniz
2. https://medium.com/@eakbas/surelog-qradar-arcsight-splunk-mcafee-logsign-cryptosim-alienvault-siem-389bd822b602
3. https://medium.com/@eakbas/t%C3%BCrkiyede-en-%C3%A7ok-kullan%C4%B1lan-siem-%C3%BCr%C3%BCnlerinin-taxonomy-%C3%B6zellikleri-e954df38f910
4. https://medium.com/@eakbas/neden-her-siem-ayni-siem-degil-1022268b7527