Önemsenmeyen veya Gözden Kaçan SIEM Korelasyon Motoru Özelliği -Gerçek Zamanlı Korelasyon-
Gerçek zamanlı korelasyon olayın olması ile tespitinin anında veya 5–10 saniyeyi geçmeyecek şekilde olmasıdır. Pek çok kez olayların gerçek zamanlı tespiti göz ardı edilebilir.
Bununla birlikte çoğu zaman da gerçek zamanlı tespit çok kritiktir. Aşağıda gibi çok temel senaryoları tespit etmek istiyorsunuz “60 dakika içinde SSL-VPN giriş denemeleri 5'ten fazla ise alarm üret”. Fark edeceğiniz gibi bunu ne kadar hızlı tespit ederseniz o kadar iyi ve bazen de kritiktir. Saldırgan bu 5 taneden sonra 6. denemede başarılı oldu ise ne olacak? Bunu anında tespit edebilecek misiniz?
Dolayısı ile bu ve benzeri yüzlerce durumu tespit için “Kontrol sıklığı”, “periyot” veya belli bir sürede bir şeyleri periyodik yaparak korelasyon kuralı tanımlaması yapıyor ve periyot gibi kriterleri kullanıyorsanız birkaç dakikayı geçmeyen tanımlar yapmalısınız. Burada sizi bu periyotu küçülttüğünüzde ve/veya kural sayılarını artırdığınızda ortaya çıkabilecek performans problemleri zorlayabilir.
Gerçek zamanlı korelasyon motoruna sahip SureLog SIEM [1,2] gibi çözümlerle her SSL-VPN giriş denemesi olduğunda anında son 60 dakikaya bakarak daha efektif çözümler üretilebilir.
Referanslar
