SIEM İçin Canlıda Log Tutma ve Gerçek Zamanlı Aramanın Önemi

Dünyada saldırıların ortalama tespit süresi 280 gün civarıdır [1]. Dolayısı ile canlıda arama süresinin en az 280 gün civarında olması tespit için fonksiyonel olacaktır.

SIEM ve Log Yönetimi için canlıda arama yapabilme süresi ve bunun için ihtiyaç duyulan disk boyutu çok çok kritikdir. Bu disk boyutu meselesini çözmek için bazı logları alamayalım çözümü doğru değildir. SANS [2] bu logların ileride veya korelasyonda işe yarayıp yaramayacağınızı bilemeyeceğiniz için bütün logları alın diyor.

SIEM çözümlerinin kullandığı teknolojilere göre canlıda log tutmak için ihtiyaç duydukları disk miktarı çok değişir.

Aşağıdaki makalede ürünler ve kullandıkları teknolojiler ile ilgili detaylı bir çalışma bulabilirsinz.

SureLog, QRadar, ArcSight, Splunk, McAfee, LogSign, CRYPTOSIM, AlienVault SIEM Çözümlerinde KVKK…

Referanslar

1. https://www.ibm.com/tr-tr/security/data-breach
2. https://cyber-defense.sans.org/blog/2018/10/24/your-siem-questions-answered