SIEM Çözümleri, Canlı Loglar, Indeks Sayısı ve Bunların Raporlama, Arama ve Korelasyona Etkisi
SIEM çözümlerinde logların canlıda durmasının anlamı lazım olduğunda saniyeler, dakikalar veya saatler içinde bu loglara erişebilmemiz demektir.
Elasticsearch veya Elasticsearch kullanan bir SIEM ürünü ile Logları 3 ay canlıda, 1 yıl arşivde tuttuğunuz bir senaryoyu irdelersek
1-Eğer size 4 ay önceki 1 günlük log gerekirse buna birkaç saat içinde erişebilirsiniz.
2-Eğer size 4 ay önceki 1 haftalık log gerekirse buna bir gün civarı bir süre içinde erişebilirsiniz.
3-Eğer size 4 ay önceki 1 aylık log gerekirse buna 3–5 gün içinde erişebilirsiniz.
4-Eğer size son 12 ay ile son 6 ay arasındaki 6 aylık log gerekirse bunun için birkaç hafta içinde erişebilirsiniz.
Peki neden 1 yılı canlıda tutmuyoruz?
Buna da yine Elasticsearch veya Elasticsearch kullanan bir SIEM ürünü açısından irdelersek TB larca disk gerektirdiği için bundan genelde kaçılır.
Logları canlıda tuttuktan sonra önemli olan diğer bir konu da kaç alanı indekslediğimizdir. Eğer logdaki bütün alanlar, Fortigate Firewall logundaki yaklaşık 60 alanın tamamı, Windows logundaki SID, Application Instance ID, Client Context ID, Logon GUID, Package Name gibi her alan indekslenmezse lazım olduğunda indekslenmeyen veriye ulaşılamaz. Bütün alanların indekslenmemesinin altında yatan ise disk boyutunu azaltmaktır.
Ayrıca bu alanlar gereksiz olsa, son kullanıcı için lazım olmasa Checkpoint, Fortinate, PaloAlto, Microsoft, Vmware gibi binlerce firma loglarına bu alanları eklemezdi.
Bu konuda daha detaylı okuma yapmak isterseniz aşağıdaki linke bakabilirsiniz.
