Yine, Yeniden SIEM Çözümlerinde Canlı Logun Önemi
SIEM çözümlerinde canlı logun önemine dair aşağıdaki linkte onlarca makale mevcut.
Geçen hafta gündemi meşgul eden LAPSUS$ saldırısı yine logların canlıda, piyasa tabiri ile indeksli, yani anında erişilebilir olmasının önemini hatırlattı.
Bundan önce geçen yıl gündemimizi meşgul eden Solarwinds saldırısı ve bu saldırının zaman çizelgesini paylaşmak istiyorum.
Resimden de görüleceği gibi saldırı analizi için 1,5 yıl önceye gitmek gerekmişti. Bu işlemi arşivde duran logları kullanarak, arşivden tekrar canlıya çekerek, indeksleyerek yapmak imkansız. Bu kadar vakit alan bir işlemle tespitin başarılı olma şansı yok.
Aynı şekilde aşağıda da son haftanın meşhuru LAPSUS$ saldırısının zaman çizelgesi var. Orada da 4 ay geriye gidip analiz yapmak gerekiyor.
Bu konu ile ilgili 2 anket sonucunu paylaşmak istiyorum.
Daha ilginç olanı ise insanlar böyle düşünmelerine rağmen aldıkları ürünlerin ne kadar süre logları canlıda tutabildiğini, kurulurken ne kadar süre canlıda tutmak üzere ayarlarının yapıldığını, arşiv log, imzalı log ve canlı log farkını bilmiyorlar
Ülkemizde yapılan projelerin çoğunda, rakam vermem gerekirse %70 civarı olduğunu düşündüğün bir oranda projede loglar canlıda 1 hafta ile 1 ay arasında bir süre duruyor. Çoğu zaman sorduğumda imzalı log veya arşiv logu canlı, indesklenmiş yani anında erişilebilir zanneden onlarca projeye de rastladım.
Dolayısı ile hep şu soru aklımda: SIEM alıp 5651 için mi kullanıyoruz? Hiç güvenlik için kullanmıyor muyuz? Hiç tehdit avcılığı yapmıyor muyuz?
Korelasyona daha geçmedim bu arada.
