SIEM Ürünü Alırken veya Mevcut Ürünü Değiştirirken Sorulacak Sorular -03-
Bu makale serinin ikinci makalesinin devamıdır. Bu makalede daha ziyade rakamlara yer vereceğim. İlk rakam olması gereken EPS değeridir. Örneğin 750 internet kullanıcınız 30–40 sunucunuz, 1 adet Firewall ve 10–15 tane ağ cihazı ve güvenlik yazılımı kullanılan bir ağda maksimum değer olarak 10 000 EPS çok normaldir.
Detayları için yazı dizisinin ikinci makalesine bakabilirsiniz.
O zaman ilk sorumuz EPS değerimiz yukarıdaki tablo ile paralellik gösteriyor mu?
Sistemin log kaçırıp kaçırmadığı kontrol edildikten sonra ikinci bakılacak olan şey 30 000 EPS için logları bütün alanlar indekslenerek 30 TB ile 1 yıl canlıda ve olabilecek en ucuz ve yavaş 60 TB disk ile2 yıl yedek +arşiv dahil tutulup tutulamayacağı. Aynı şekilde ölçeklenerek 1000 EPS ile de 1 TB ve 2 TB olarak oranlanabilir. Benzer şekilde de 100 000 EPS için de 100 TB ve 200 TB olarak ölçeklendirilebilir.
İkinci sorumuz ortalama bir ölçek olsun diye alacağımız 5000 EPS için logları bütün alanlar indekslenerek 5 TB ile 1 yıl canlıda ve olabilecek en ucuz ve yavaş 10 TB disk ile 2 yıl yedek +arşiv dahil tutulup tutulamayacağı.
Üçüncü sorumuz ise disk kullanımını 1000 veya 100 000 EPS için birebir ölçekleyip ölçekleyemediğimiz olmalı.
Bu adım da geçildikten sonraki adım sistemin 1000 EPS, 10 000 EPS, 30 000 EPS, 100 000 EPS, 200 000 EPS, 500 000 EPS gibi değerler için bire bir veya bire bire yakın ölçeklenebilir genişleyebilir ve hiçbir stabilite sorunu çıkarmadan çalışabilir olmasıdır.
Örnek olarak mesai saatleri içinde ortalama 20 000 EPS ve maksimum 40 000 EPS için dedike 5 core, 24 GB RAM ve yaklaşık 15 000 RPM hızında diske sahip bir sanal sistemde 12 makine ile çalışıp çalışamayacağı ve bunun birebir ölçeklenip ölçeklenemeyeceğidir.
Dördüncü soru olarak logların raporlara yansıması ve korelasyonlarda hiçbir sorun yaşamadan ortalama 20 000 ve maksimum 40 000 EPS için gereken sistem kaynağı sorulmalıdır.
Bu soru da sorulduktan sonra gelelim sorgu hızlarına. Aşağıda rakamlarını vereceğim ve hızı hakkında fikir versin diye SSD disk ile karşılaştırmasını verdiğim bir diskte 15 milyar kayıtta arama hızı 10 dakikayı geçip geçmediği güzel bir performans verisi olur.
O zaman beşinci soru olarak SSD olmayan bir diskte 15 milyar kayıtta sorgu hızı maksimumda 10 dakikayı geçiyor mu? Olurdu.
En önemli konuyu en sona bıraktım. Sistemin sadece temel tip diye adlandıracağım
- Bir kullanıcı admin grubuna eklendi
- Yeni bir kullanıcı olışturuldu
- Bruto froce saldırısı oldu
- 5 dakikada 50 tane IP bloklandı
formatında alarmları mı destekliyor yoksa gelişmiş tip diyeceğim
- Geçmişte login olunan makinalar ve sayıları ile bugünkü login sayıları bakarak anormallikleri tespit et
- Networkünüzde çok nadir kullanılan portlar varsa tespit et
- Herhangi bir kullanıcının çok nadir kullandığı bir port varsa tespit et
- Bir kullanıcının günlük başarılı oturum sayısının başarısız oturum sayısına oranındaki anormallikleri tespit et
- Herhangi bir kullanıcının hedef ip bazlı oluşturduğu log miktarında günlük olarak anormallikler varsa tespit et
- Beacon trafiği tespit et
- Son 1 ay içinde hiç login olmadığı bir makinaya login olan bir kullanıcı varsa tespit et
- Bugün login olduğu makinalar ve login sayılarında son 1 aya göre anormallik varsa tespi tet
- Bir kullanıcını login olma yogunluğu diğer kullanıcılara göre anormallik varsa tespit et
Bir kullanıcı sisteme hiç login olmadığı bir saate login oluyorsa tespit et
tarzında korelasyon ve senaryoları da içeriyor mu?
Sondan bir önceki sorumuz da korelasyonla ilgili temel tip ve gelişmiş tipi bir arada destekleyip desteklemediği olacaktır.
Son sorumuz ise 100 adet temel ve 100 adet gelişmiş tip korelasyon kuralını 30 000 EPS trafik altında 56 Core, 512 GB RAM fiziksel makine ile gecikme, kaçırma, patlama, çatlama olmadan master makinada çalıştırabiliyor muyuz?
Yukarıdaki soruları EPS değerleriniz ölçüsünde ölçeklendirebilir yani 20 000 EPS için verilen rakamları 1000 EPS e göre yeniden hesaplamak için 20 ye bölebilir veya 100 000 EPS e adapte etmek için de 5 ile çarparak gereken değerleri bulabilirsiniz.
