Open in app

Sign in

Write

Sign in

SIEM Seçerken Sorulacak Sorular

Ertugrul Akbas
2 min readNov 20, 2021

Yaptığım bir webinarda benden yazmamı istenen bir makale “SIEM seçerken sorulacak sorular”. Soruların olabildiğince basit olmasına çalıştım. Kurulum, log toplama gibi olmazsa olmaz temel konuları geçtim.

Sorular:

  • Ürün Elasticsearch kullanıyor mu? Evet cevabı alırsanız aşağıdaki makaleleri okuyun

Elasticsearch’ün Dayanılmaz Cazibesi

Elasticsearch, Apache Lucene altyapısı üzerinde, Java programlama dili kullanılarak geliştirilmiş bir metin (full text)…

drertugrulakbas.medium.com

Elasticsearch ve Elasticsearch Kullanan Bütün SIEM ve Log Yönetimi Çözümleri Neden Disk Canavarı?

Logların hızlıca erişilebilir olması için Elasticsarch de bu logların indexlenmesi gerekir. Bu işlem disk kullanımı…

drertugrulakbas.medium.com

  • 5000 EPS için logları 12 ay canlıda tutmak için ne kadar disk gerekir?
  • Yukarıdaki hesabı yaparken kaç alanı indexliyorsunuz?
  • 5000 EPS için logları 36 ay arşivde tutmak için ne kadar disk gerekir?
  • 5000 EPS için X ve Y kullanıcılarının son 1 yıl içerisindeki bütün internet erişimlerinin listesini(Sadece URL değil!) ne kadar sürede alabilirim?
  • Aşağıdaki tipte 100 adet kuralı 5000 EPS için gerçek zamanlı olarak çalıştırmak için ne kadar CPU, RAM gerekli?

Domain admin grubuna bir kullanıcı eklendi
Firewall da policy değişti
Virüs tespit edildi
Sahte DHCP sunucusu tespiti
Kullanıcı haklarında değişiklik oldu

  • Aşağıdaki tipte 100 adet kuralı daha eklersem (Toplamda 200 kural) 5000 EPS için gerçek zamanlı olarak çalıştırmak için ne kadar CPU, RAM gerekli?

Too Many Fail Logon Activity
Brute Force Detected
Http flood atak tespiti
DDoS Attack Event Detected

  • Aşağıdaki tipte kurallar geliştirebilir miyim?

Ertuğrul Akbaş son 6 aydır hiç bu SAP sunucuya öğleden sonra login olmamıştı şimdi oldu, bu onun için anormal bir durum
Ertuğrul Akbaş bugün Türkiye içindne VPN yapmıştı 4 saat sonra ABD den VPN yaptı fiziksel olarak mümkün değil, anormal bir durum

  • Eğer yukarıdaki tipte kural geliştirebiliyor isem, bu tarz 100 adet kuralı da eklersem (Toplamada 300 oldu) 5000 EPS için gerçek zamanlı olarak çalıştırmak için ne kadar CPU, RAM gerekli?
  • Gerçek zamanlı korelasyon yapabiliyor muyum? Bir olay olduğunda 5000 EPS için anında uyarı ve/veya aksiyon alabiliyor muyum?
  • İstersem UEBA özelliği ekleyebiliyor muyum?
  • Log toplama hızı, kapasitesi ile korelasyon hızı ve kapasitesi bire bir aynı mı?
  • Aşağıdaki makalede örneği verilen 1183 ilk ve ikinci seviye kural haricinde hazır gelen kuralların listesi?

SIEM Korelasyon X Sürede Y Adet Olay Olursa veya A Olayı Olursa Demek Değildir.

SIEM Korelasyon SIEM konusunda kafa karışıklığının en yoğun olduğu konudur. Bu konuda en yaygın, karşılaşılan…

drertugrulakbas.medium.co

  • Kural geliştirme ara yüzü kolay mı? Size hitap ediyor mu?
Siem
Soc
Korelasyon
Kriterler
Performans

--

--

Ertugrul Akbas

Written by Ertugrul Akbas

454 Followers

Entrepreneur,Security Analyst,Research.

Help

Status

About

Careers

Blog

Privacy

Terms

Text to speech

Teams