SIEM’lerde Sıcak Veri (Canlı Log)

Loglar erişim tiplerine göre Sıcak (Hot) yani canlı ve Soğuk (Cold) yani arşiv olarak tanımlanır.
Sıcak log analizi anlık olarak log analiz etmek amacıyla kullanılır. Biz buna SureLog SIEM olarak canlı log diyoruz.
Soğuk logları geri yüklemek günler, haftalar hatta aylar sürebilen bir işlemdir. Soğuk loglar geri yüklemeden kullanamazsınız. Biz buna SureLog SIEM de arşiv loglar diyoruz.
Soğuk logları yani arşiv logları sıcak hale getirmeden kullanamazsınız dedik,
peki soğuk yani arşiv logları kullanmak için haftalarca beklemek gerekiyorsa neden her şey canlıda tutulmuyor?
Canlı loglar kullanılan teknolojiye bağlı olarak ve üründen ürüne değişmekle birlikte verileri analiz için indekslerken 40 ila 100 kat log miktarını (veriyi) büyütür, bu da çok büyük disk maliyetlerine sebep olur. Bu yüksek disk ihtiyacı yani yüksek disk maliyetlerinden dolayı piyasadaki SIEM çözümlerinin çok büyük çoğunluğu logları 7, 14 veya 30 gün canlıda tutup daha eski olanları arşive atar, mevcut SIEM çözümlerinden birkaç tanesi 60 veya 90 gün sıcak yani canlı tutar ve sadece SureLog SIEM aynı disk miktarı ile en az 365 gün tutabilir.
Bunun sebebi de dünyada en iyi canlı log disk sıkıştırma oranına sahip çözümün Surelog SIEM olmasıdır.

IBM‘in raporuna göre bir ihlalin tespit edilip kontrol altına alınması için gerekli ortalama süre en az 280 gündür.

Son yılların en şiddetlisi olan SolarWinds siber saldırısı hakkında ne biliyoruz? Bu saldırının analizi için gerekli olan zaman dilimi 1,5 yılı aşmış durumda ve hala devam ediyor.

Eğer bu sürelerde logları sıcak, yani canlıda tutabilirseniz aşağıdaki gibi yüzlerce analizi en fazla 1–2 saat içerisinde yapabilir ve sonuçları alabilirsiniz. Eğer loglar soğuk, yani arşivde durursa bu analizler haftalarca bitmez!

1-Şüphelendiğiniz bir kullanıcı veya IP nin son 6 ay içinde eriştiği domainlerdeki farklılıklar nelerdir?

2-Saldırganlarca ele geçirildiği 7,8 ay sonra tespit edilip bildirilen bir domaine sizin ağınızdan da son 7,8 ay içerisinde erişim olmuş mu?

3-Son 6 ay içinde hangi ülkelerden gelen saldırılarda artış var?

4-Son 6 ay içerisinde başarısız oturum (login failed) sayılarında dikkate değer artış olan kullanıcı var mı?

5-Silindiği 7,8 ay sonra anlaşılan kritik bir dosyayı kim sildi? Ne zaman sildi?