SIEM Korelasyon Yeteneğinin EPS, Kural Sayısı ve Kural Kalite, Gelişmişlik ve Zorluğuna Göre Performansı

Bu konu ile ilgili ilk makalelerimden birini 2013 yılında yazmıştım [1]. Bu makalelerde vurgulamak istediğim temel özellik basitçe; 20–30 adet korelasyon kuralı ile iyi çalıştığı görülen sistem 200–300 kurala çıktığında stabilite ve fonksiyonunu kaybedebilir. Hele de bu kuralların bir kısmı “Admin grubuna bir kullanıcı eklendi” gibi basit alarmlar yerine “Bir kullanıcı daha önce hiç yapmadığı bir işlem yaparsa tespit et” gibi gelişmiş tipte kural olursa.

Benzer şekilde 200–300 kural ile 3000–5000 EPS de iyi çalışan bir sistem 30 000 EPS, 80 000 EPS e çıktığında stabil çalışmayabilir ve fonksiyonunu kaybedebilir.

Bir sistem alıp bütçeyi harcamadan önce yukarıda bahsedilen hususların testleri yapılırsa faydası malumdur.

Geçmiş yıllarda üreticiler bu bilgileri daha net belirtirlerdi [2]. Örnek olarak Sentinel 6.1 ürününü 20 adet korelasyon kuralı için önerdiği fiziksel sunucu özellikleri 2 core 3 Ghz CPU ve 4 GB RAM idi [2]. Bu sunucu ne log toplama ne de normalizasyon işlemi yapmaktadır. Sadece log korelasyon işlemi yapmak üzere kullanıla fiziksel bir sunucudur [2]. Daha sonraki sürümünde üretici net 20 rakamı vermek yerine ihtiyaç duydukça yeni bir fiziksel korelasyon sunucusu ekleyin diyordu[2].

Son senelerde üreticilerin bu tür net rakamlarına rastlamak mümkün değil. Aşağıdaki makalede sadece korelasyon değil ama toplam sistem performansı açısından birkaç örnek içermektedir[3].

Diğer bir husus da kural sayısı ve EPS değerlerinin yanında korelasyonların kalite, gelişmişlik ve zorluğudur. Bu konuda korelasyon piramidine bakılabilir [4]. En basit şekilde anlatmak gerekirse çok fazla kural ve bu kuralların birbiri ile bağlanması, çok fazla işlem kaynağı gerektir, yine çok fazla operasyon, trend analizi, ön değerlendirme aşamaları yine kuralı çok fazla kaynak gerektirir hale getirir. Korelasyon piramidinde bahsettiğim onlarca kritik özellikten bir diğeri de konu ise zaman konusudur, olaylar her zaman aynı anda gerçekleşmediğinden, farklı zamanlardaki olaylar hala ilişkili olabileceğinden bir zaman faktörünün dikkate alınması gerekmektedir. Örnek olarak “Bir saat içinde bir kullanıcı oluşturulup, silinirse tespit et” verilebilir ama günümüz gelişmiş saldırı tekniklerine bakılırsa kaynak gerektiriyor diye bu kurallardan vaz geçilecek değil.

Siber güvenliğin en önemli bileşeni olan SIEM den maksimum fayda alabilmek için en önemli kriter korelasyondur.

SANS SOC Survey 2022

Referanslar:

1. https://www.slideshare.net/anetertugrul/log-korelasyon-siem-kural-ornekleri-ve-korelasyon-motoru-performans-verileri
2. 1. http://www.slideshare.net/NOVL/how-to-architect-a-novell-sentinel-implementation
3. https://drertugrulakbas.medium.com/t%C3%BCrkiyede-y%C3%BCksek-eps-de%C4%9Ferlerinde-durum-nedir-6dd1d176d8e8
4. https://drertugrulakbas.medium.com/siem-korelasyon-piramidi-e40be8cc41ce