Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

LOG YÖNETİMİNDE CİHAZ SAYILARI & EPS DEĞERLERİ ARASINDAKİ İLİŞKİ

1,474 views

Published on

LOG YÖNETİMİNDE CİHAZ SAYILARI İLE EPS DEĞERLERİ ARASINDAKİ İLİŞKİNİN BİLİNİP SİSTEMLERİN ONA GÖRE DEĞERLENDİRİLMESİ GEREKİR

Published in: Technology
  • Be the first to comment

  • Be the first to like this

LOG YÖNETİMİNDE CİHAZ SAYILARI & EPS DEĞERLERİ ARASINDAKİ İLİŞKİ

  1. 1. LOG YÖNETİMİNDE CİHAZ SAYILARI & EPS DEĞERLERİ ARASINDAKİ İLİŞKİ Dr. Ertuğrul AKBAŞ eakbas@gmail.com Log Yönetimi projelerinin demo aşamalarında can alıcı derecede önem arz eden EPS değerlerinin hesaplanması ve kurulacak olan sistemin bu değerleri karşılayıp karşılayamadığının kontrolünün atlandığı ve bu tür bir gözden kaçırmanın acısının aylar sonra hissedildiği durumların ortaya çıkmaması için dikkat edilmesi gereken hususları listelemek istedik. EPS DEĞERİ NEDİR? Bazı sistemler kullanıcı ve bilgisayar sayısına göre kurgulama ve fiyatlandırma yapmaktadır. Bu doğru bir yaklaşım olmadığı gibi sektörce bilinen yazılımlar EPS değeri kullanmaktadır. Normal EPS değerleri (Normal Events per second (NE))standart aktivite zamanlarındaki log sayısıdır. Ama daha önemli olanı ise Tepe EPS (Peak Events per second (PE)) değeridir. Çünkü kurulacak sistemin dayanma noktası bu EPS değerlerine ulaşıldığı zaman ortaya çıkar. Bu durum ise anormal bir durum (saldırı, virüs vs..) durumlarında ortaya çıkar. SİSTEMİNİZİN KAÇ EPS LOG ÜRETECEĞİNİ YAKLAŞIK NASIL BİLEBİLİRSİNİZ? Ölçeklemek amaçlı bir rakam vermek gerekirse 100-150 bilgisayar olan 1-3 server olan 10 mbit bir WAN hatta sahip bir network için 500-1000 EPS arası bir değeri ölçeklemek için kullanabiliriz. Aşağıda birkaç hazır EPS hesaplama tablosu mevcuttur
  2. 2. http://www.sans.org/reading-room/analysts-program/eventMgt-Feb09
  3. 3. http://www.netcerebral.com/guessing-game-planning-sizing-siem-based-on-eps/ http://www.netcerebral.com/log-management-planning-calculator/#more-125 Bununla birlikte ticari ürünlerden Archsight ESM bakarak aşağıdaki tabloya ulaşılabilir. http://www8.hp.com/tr/tr/software-solutions/software.html?compURI=1340477#tab=TAB4 Yukarıdaki verilen örnekleri kullanarak bir ölçekleme yaparsak: 100 Cihazlık bir ağ için Ortalama EPS : 40 PeakEPS : 2500 Ortalama Peak EPS: 1500 250 Cihazlık bir ağ için Ortalama EPS : 100 PeakEPS : 6000 Ortalama Peak EPS: 4000
  4. 4. 500 Cihazlık bir ağ için Ortalama EPS : 200 PeakEPS : 12500 Ortalama Peak EPS: 7500 1000 Cihazlık bir ağ için Ortalama EPS : 400 PeakEPS : 25000 Ortalama Peak EPS: 15000 Önemli olan sistemin Peak EPS değerlerini karşılayabilmesidir. Ortalama EPS ve Ortalama Peak EPS sadece storage ihtiyacı için hesaplamada kullanılacak parametrelerdir. EPS DEĞERLERİ İLE DONANIM ÖZELLİKLERİ ARASINDAKİ İLİŞKİ Bu konuda sadece log toplayan çözümler ile korelasyon yapan çözümlerin ihtiyaçları doğal olarak birbirinden farklıdır. Yine Archsightdan örnek verirsek:
  5. 5. Sadece loglama yapan üründe
  6. 6. Eğer korelasyon yaparsa Aynı şekilde IBM Qradar a bakarsak 8 GB of freememory is requiredbytheVMwarehostforQRadar SIEM 3190. 12 GB is optimal.
  7. 7. QRadar SIEM 3190 - TheQRadar SIEM 3190 virtualappliance is a QRadar SIEM systemthat can profile network behaviorandidentify network security threats. TheQRadar SIEM 3190 virtualapplianceincludes an on-board Event Collectorandinternalstorageforevents. TheQRadar SIEM 3190 virtual appliancesupports: - Upto 1,000 network objects - 50,000 flowsperinterval, depending on yourlicense - 1,000 Events Per Second (EPS), depending on yourlicense - 750 eventfeeds (additionaldevices can be addedtoyourlicensing) - ExternalflowdatasourcesforNetFlow, sFlow, J-Flow, Packeteer, and Flowlogfiles - QRadarQFlowCollectorandLayer 7 network activitymonitoring http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR2/QRadar/EN/QRa dar_71MR2_InstallationGuide.pdf SONUÇ Kurulacak olan sistemin log kaçırmaması ve diğer performans değerlerinde problem yaşanmaması için PE değer baz alınmalıdır. Ayrıca sistemin ne kadar log üretmesi gerektiği ve log yönetimi çözümünündebu miktarda logun birikip birikmediğinin gözlenmesi gerekir.

×