Türkiye’de En Çok Kullanılan SIEM Ürünlerinin Taxonomy Özellikleri
Standart bir log yönetimi çözümü ötesinde SIEM çözümlerinin logun içindeki kullanıcı adı, IP ve portlar, URL vb.. statik bilgiler haricinde bir logun neden oluştuğunu tespit edebilmesi beklenir. Bu kategori oluşturma veya gruplama işleminin ingilizce literatürdeki karşılığı “taxonomy” olup amacı IT sistemlerinin ürettiği spesifik kayıtların standart bir güvenlik uzmanının anlayacağı hale getirilmesidir.
Örnek verilecek olursa güvenlik duvarının ürettiği “big icmp packet” uyarısı yerine “Ping of death saldırısı” şeklinde logun üretilmesini sağlamak gibi.”
Taxonomy konusu ile ilgili başka güvenlik uzmanlarının görüşlerinden seçtiğim bir örnek mevcut.
SureLog taxonomy özelliği en kuvvetli ürünlerden biridir. 1500 civarında taxonomy özelliği ile öne çıkar. Ayrıca “Network Activity Map” özelliği ile görsel anormallik tespiti (Visual Anomaly Detection) yapar. Aşağıda hem taxonomy, hem trend, hem anomaly leri aynı anda görebileceğiniz SureLog ekranlarını görebilirsiniz.
Bazı ürünlerde ise taxonomy görece çok zayıftır. Google da arama yaparak istediğiniz SIEM ürünün taxonomy özelliği ile ilgili bulduğunuz dokümanlara ve bu dökümanlardaki detaylara bakarak o ürünün taxonomy özelliği ile ilgili bilgi edinebilirsiniz. Örnek olarak
SureLog için google da arama yaptığımızda
QRadar için google da arama yaptığımızda
Arcsight için google da arama yaptığımızda
McAfee için google da arama yaptığımızda
LogSign için google da arama yaptığımızda
CRYPTOSIM için google da arama yaptığımızda
Referanslar
