SIEM ve Logları Çok Uzun Süre Canlıda Tutmanın Kritikliği — Sahadan Tecrübeler
Aşağıdaki makalelerde logları 180 gün veya 365 gün gibi uzun süre canlıda tutmanın en temel fayda/avantajlarına değinmiştik.
Şimdi daha derine inersek bunu örnekler ile detaylandıralım. SureLog kullanan Doğru Varlık IT direktörü İlker beyin — https://www.linkedin.com/in/ilkergulen/ — pratiklerinden örnekler vermek istiyorum. İlker bey diyor ki en büyük avantajlardan biri de geçmiş dönemlere olan karşılaştırma yapabilme imkanı sunmasıdır. Bu karşılaştırma güvenlik için ne kadar önemli ise denetim dönemlerinde işimizi kolaylaştırması büyük fayda ve zaman avantajı sağlamaktadır.
Örneğin:
· Login failed raporları aylara göre artmış mı?
· Son 1 sene içinde kullanıcı yetki değişikliği nelerdir?
· Her ay ne kadar portların tarandığı
· Bir ip son 6 ay için kaç kere ulaşmaya çalışmış
· Her ay hangi ülkelerden daha fazla istek ve tarama geliyor. Bu aylara göre karşılaştırmaları
· Ayrıca Doğru varlık denetimlerinde son 1 sene içinde SA ın hangi databaselere login oldu raporu istendiği gibi, hangi querleri çalıştırdığı da rutin denetim prosedürü olarak İlker beyin karşısına çıkıyor. Bu raporları tek tıklama ile alıyor. Müthiş kolaylık ve rahatlık.
Aşağıdaki videoda SureLog SIEM ile çok az disk kullanarak logları 1 yıl tutulan başka bir saha tecrübesinin video görüntülerini bulabilirsiniz.
