SIEM Çözümlerinde EPS Değerlerini Düşürürken Dikkat Edilecekler
SIEM çözümlerinde EPS değerlerini düşürmek istemenin son kullanıcı açısından 3 temel motivasyonu olabilir.
- EPS düşük olursa lisans maliyeti düşük çıkar,
- Loglar daha az yer kaplayacağı için daha az disk harcanır,
- EPS düşük olacağı için daha az kaynak gerekecektir.
EPS değerlerini düşürmek istemenin satış yapan firma açısından ama motivasyonu:
- Proje toplam maliyetleri düşük olursa satılması kolay olur.
EPS değerlerini düşürmek için uygulanabilecek yöntemler:
- Bütün log kaynaklarını eklememek
- Logları filtrelemek
- Sistemin kaldırabileceği kaynakların daha altında kaynak verip logların kaçmasına göz yummak
Oluşan bütün logların alınmaması durumunda ortaya çıkabilecek en temel problem sizin şimdi lazım olmaz diye gördüğünüz logların 6 ay sonra hayat kurtarabileceğidir. Aşağıda bu konuyu çok güzel özetleyen bir sunumdan bir slayt paylaşıyorum.
Logların filtrelenmesinin ikinci dezavantajı korelasyonun gücünü zayıflatabilecek olmasıdır. Kuralları eksiksiz bile yazsanız eğer o senaryo için gereken log gelmezse o kural tetiklenmez. Sonra da siz SIEM çözümünüzün işe yaramadığını, en azından bekleneni veremediğini düşünürsünüz ama korelasyonun yakıtı logdur.
