SlideShare a Scribd company logo

SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA SİEM DİYEN DE ÇOK. NASIL AYIRT EDECEĞİZ?

Download as DOCX, PDF
Ertugrul Akbas
Ertugrul Akbas

SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA SİEM DİYEN DE ÇOK. NASIL AYIRT EDECEĞİZ?

Technology
1 of 6
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA SİEM DİYEN DE ÇOK. NASIL AYIRT EDECEĞİZ? SIEM ürünleri görünüşte birbirine benziyor. Hatta Log yönetimi yapıp da SIEM olduğunu söyleyen ve korelasyon vurgusu yapan ürün de çok. Nasıl ayırt edeceği. Bu kafa karışıklığının sebebi ne? Açık kaynaklogürünleri çokpopülerolmaklabirlikte ne kadarderde devaolduğu tartışılır.Herkesinde bildiği gibi neredeyse yüzlerce açık kaynak log yönetimi çözümü mevcut. ELK/Solr/Lucene ve Spark/Storm zatenartık standartolupbunlarınüzerinebiriki regexve birarayüz(GUI) giydiripyenibir teknoloji imiş gibi sunmak sadece gerçek SIEM algısına balta vurmak ve bu SIEM den fayda ummak boşmuş, bu teknolojiden fayda gelemez dedirtmekten başka bir şeye yaramaz. Bir log arama motoru yapmak artık çok kolay. Parçaları birleştirerek bile aşağıdaki ekranları oluşturabilirsiniz. https://www.elastic.co/blog/kibana-3-0-0-ga-now-available Bunun için  ELK  Apache Spark/Storm  Kafka/Zeromq/Redis Ürünlerini birlikte kullanmak yeterli. Genelde ürünler seçilirken aslında belli bir seviyede log yönetimi yapabilecek ürünler SIEM olarak alınıyor. Daha sonrasında ise SIEMolarak alınan bu yazılım sadece iki şey için kullanılıyor:  Log Arama Motoru  En Çok Analizleri
dolayısı ile ürünün güvenlik analizleri açısından hiçbir faydası olmamaktadır. Burada ürünleri üç gruba ayırabiliriz.  Açık kaynak üzerine kurulu servis olarak sunulan ürünler  Açık kaynak yazılımın kopyasını yeni bir teknoloji olarak sunup YENİ BİR ARAYÜZ İLE DÜNYANIN EN İYİ SIEM İNİ BİZ YAPTIK DİYEN ürünler.  Aslında Log Yönetimi olarak tasarlanıp SIEM olarak pazarlanan ürünler. Log Analiz (Parser) Kütüphanesi Yukarıdaki ürünler log analiz(parser) yeteneği olarak etrafta bulunan kaynaklardan ve firma kendi yetenekleriilene geliştirdi iseondanoluşanbir loganaliz(parser) listesioluşturmayaçalışmaklabirlikte genelde  Log kaynağını 1 hafta dinleyelim ona göre log analiz(parser) yazalım  Sistem çalışırken bakarız ona göre eksikleri ekleriz gibi yöntemleri de kullanarak loganaliz(parser) kütüphanesi oluştururlar.Buyönteminne kadareksik olduğunugösterebilmekadına TippingPointiçinANETSureLogSIEMloganaliz(parser) dosyasıörneğini verirsek  Regex sayısı yaklaşık 11 bin adet  İmza(Signature) adedi yaklaşık 10 000 adet (Zaten pek çok yazılımda karşılığı yok!!) Veyabenzerşekilde “dünyadaeniyi SIEMçözümübiziz”benzeri sloganlara Elastic/Sparktemelli ticari bir ürünün Fortigate Firewall ile ilgili log analiz(parser) kütüphanesi (regex dosyası+parser kodu) toplamda yaklaşık 5000 satırdır. ANET SureLog SIEM in sadece parser dosyası ise 100000 satırın üstündedir evet yanlış okumadınız yüzbin satırdan büyük bir dosya ve yüzlerce regex ve on binlerce imza(signature) dan oluşmaktadır. Peki fark ne!!! Fortigate için farkı anlatmak gerekirse fortigate logları içindeki log_id, attack_id, SN gibi alanların kombinasyonlarına göre SureLog SIEM bu logu  Malicious.PasswordCracking  Malicious.Virus  Malicious.Worm  Malicious.Bot  Malicious.Web.Injection Veya  Compromised.Trojan  Compromised.Trojan.Response gibi 1500 e yakın tiptenbiri olaraktespiteder(Taxonomy).Loganaliz(parser) işlemleri pek çokaçıdan daha detaylıincelenebilir.Bunlardanbiri de logzenginleştirme verilerinindoğruluğudur.Aşağıdayine yukarıda bahsedilen yazılımın log zenginleştirme verisi ile Fortigate kullanıcı kılavuzunun
karşılaştırması görülmektedir. Hata çok barizdir. Üretici tarafından Error olarak kategorize edilen olay üründe Info olarak gösterilmiştir. Benzer bir analizi de TrendMicro DeepSecurity için yaparsak "378": { "SubType":"Info", "Type":"Operation", "Context":"System" } https://help.deepsecurity.trendmicro.com/Events-Alerts/ref-events- system.html Hata yine çokbarizdir. Üreteci tarafından Warning olarak ifade edilen bir event info olarak parse edilmiştir. Bir SIEM ürününün amacı logu kaynak IP, Hedef IP, URL, kaynak port, hedef port, kullanıcı, action, gönderilen paket boyutu, alınan paket boyutu vb.. alanlara ayırıp sonra  Log Arama Motoru  En Çok Analizleri Yapmak DEĞİLDİR!. Zaten bunlar en basit bir ürün için bile olmazsa olmaz temel özelliklerdir. Logu analiz etmekten kasıt onu anlamlandırmaktır.  Bu Log ne için oluşmuş?  Hangi olayın bir parçası?  Dikkat etmemiz gereken bir durum oluşmuş mu? Şüpheli bir aktivite logu mu?  Diğer hangi loglarla ilişkili? Gibi bilgilerin logunanaliz edilmiş halinde kullanıcı tarafından bulunabilmesi ve bütün log tipleri için aynı gruplandırmanın uygulanmasıdır (Taxonomy) Gruplandırma(Taxonomy) Karşılaştırmasınıokuyucuyabırakarakdiğerbir konuolangruplandırma(taxonomy)konusunageçelim. Raporlama ve de daha önemlisi korelasyon için taxonomy kritiktir. Kısaca taxonomy yi anlatmak gerekirse  Aruba Wireless  Fortinate Firewall  Windows Sunucu  Linux Server  McAffe IPS
den gelen yeni bir kullanıcı oluşturuldu olayı “Informational.Account.Created” taxonomy grubuna eklenmeli ki hem raporda hem de korelasyonda kullanabilelim. Şöyle ki:  Oluşturulan kullanıcıların raporlarını oluştur  Yeni bir kullanıcı oluşturulursa uyar gibi raporve korelasyonlaroluşturulabilmeli.Bunuyapabilmekiçinbütünloglarıbilenmodatabirle bir üst akıl yani her bir loguparça parça parse etmekyerine diğerleri ile ilişkisini bilerekparse edebilecek bütünleşikbir parser motoruna sahip olmalı. Açık kaynak dünyası pek çok log tipini parse etmekiçin regex,kod,scripte sahipolsabile hiçbiri aynıtiplogiçinaynı/ortak birtaxonomy oluşturamamakta!. Dolayısı ile yeni bir kullanıcı oluşturuldu raporunu çekmek için en iyi durumda ayrı ayrı  Aruba Wireless  Fortinate Firewall  Windows Sunucu  Linux Server  McAffe IPS loglarından5 farklırapor çekmenizgerekmektedir.Eğerbirde bu loglarkullanıcıoluşturuldu şeklinde parse edilmiyorsa işin içinden çıkmak iyice zorlaşır. Aynı şekilde taxonomy özelliği olan bir ürünlerle “Yeni bir kullanıcı oluşursa uyar” diyebilecekken  Aruba Wireless da yeni bir kullanıcı oluşursa uyar VEYA  Fortinate Firewall da yeni bir kullanıcı oluşursa uyar VEYA  Windows Sunucu da yeni bir kullanıcı oluşursa uyar VEYA  Linux Server da yeni bir kullanıcı oluşursa uyar VEYA  McAffe IPS da yeni bir kullanıcı oluşursa uyar Gibi yazmakgerekir.Hele birde eğer bir de bu loglarkullanıcı oluşturulduşeklinde parse edilmiyorsa işin içinden çıkmak iyice zorlaşır. Başka bir örnek vermek gerekirse Fortigate logları içinde Virüsün başarı bir şekilde karantinaya alınması ile ilgili loglarilerTrendmicroOficeScanloglarıiçindeki Virüsünbaşarıbirşekilde karantinaya alınması loglarını aynı gruba ayırmalı (Taxonmy) ki hem raporlarda hem de korelasyonda karantinaya alınan virüsile ilgili raporve korelasyonlarıkonuşurgibi yazabilelimve oluşturabilelim.Diğertürlüher üreticinin loğunu son kullanıcı olarak bizim bilmemiz ve normalize edilmiş alanlarda ID,mesaj vb.. alanlara göre arama yaparak bizim bir şeyler yapmamız gerekir. Diğer bir anlatımla son 1 günde kötü niyetli (Malicious) bütün olayları raporla veya kötü niyetli (Malicious) bir olay olursa uyar gibi istekler eğer Taxonomy modülü olmazsa bütün log tiplerinin (Örnek: Aruba Wireless, Fortinate Firewall, Windows Sunucu, Linux Server, McAffe IPS, Fortigate) tanınması ve kötü niyetli olaylar için logun içindeki alanların kullanıcı tarafından bilinmesini vs.. gerektirir ki bu da ürünü çöpe atmak demek. Taxonomy ile ilgili detay bilgi için http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi Korelasyon
Son olarak da korelasyon yeteneğini değerlendirirsek bu tarz yazılımlarda gerçek manada bir korelasyonmotoruyoktur.Dolayısıile gerçekmanada bir korelasyon yeteneğindensözedilemez.Bu tarz yazılımların genelde uyguladığı  Elastic temelli elastalert https://github.com/Yelp/elastalert  Ekrandaki text alanlarına sorgu girilmesi  Ekrandaki text alanlarına arama dili ile cümlecik girilmesi  Ekrandaki text alanlarına özel notasyonlu cümlecik yazmak  Script  Yazılım dili  Arama dili ile sağlanması gibi kısıtlı ve hiç de kullanıcı dostu olmayan yöntemlerle çözmeye çalışmaktadır. Bu yöntemlerin dezavantajlarının detayları için http://www.slideshare.net/anetertugrul/log-yonetimi- korelasyon-ve-siem , http://www.slideshare.net/anetertugrul/surelog-siem-ve-log-ynetimi-zm- stnlkleri ANET SureLog SIEM Korelasyon özelliği ile bu yöntemleri kıyaslarsak; aşağıda görüleceği gibi her şey görsel ve sihirbaz temellidir. Gelişmiş kurallarıbusihirbazvasıtasıile yazabilirsiniz. 1. Bir kullanıcı15 dakikadaaynı makinada3 başarısız oturumdenediktensonra,2saat içerisinde başkabirmakinada(önceki başarısızoturumaçtığı makine dışında) da başarısız oturumaçarsa uyar 2. Bir kullanıcı15 dakikadaaynı makinada3 başarısız oturumdenediktensonra,2 saat içerisinde bu makinadankendi makinasınaoturumaçarsauyar
3. Bir kullanıcıherhangi birsunucuyaloginolamayıpauthenticationfailureasebepolduktan sonra 2 saat içerisinde aynıkullanıcının aynısunucuyabaşarılı oturumaçmadığı takdirde uyar, 4. Ertuğrul kullanıcısının(Herhangi birX Kullanıcısı) son1 aydır hiçgitmediği birsiteyegitmesi durumundauyar, 5. UnusualUDPTrafficüretenkaynakIPyi bildir, Gibi kurallar hazır olarak gelmekte ve benzeri veya daha karmaşık kurallar kolay ara yüzlerle oluşturulabilmektedir. Özetlersek:  Parser listesinin genişliği ve doğruluğu  Taxonomy  Korelasyon Belirleyicidir.

Recommended

SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...Ertugrul Akbas
 
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİTÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİErtugrul Akbas
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?Ertugrul Akbas
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması Ertugrul Akbas
 
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?Ertugrul Akbas
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...Ertugrul Akbas
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMIErtugrul Akbas
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Ertugrul Akbas
 

Recommended

SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...Ertugrul Akbas
 
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİTÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİErtugrul Akbas
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?Ertugrul Akbas
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması Ertugrul Akbas
 
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?Ertugrul Akbas
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...Ertugrul Akbas
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMIErtugrul Akbas
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Ertugrul Akbas
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRErtugrul Akbas
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...Ertugrul Akbas
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıErtugrul Akbas
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Ertugrul Akbas
 
Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Ertugrul Akbas
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİErtugrul Akbas
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMErtugrul Akbas
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriErtugrul Akbas
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkıErtugrul Akbas
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siemErtugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEMErtugrul Akbas
 
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Ertugrul Akbas
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?Ertugrul Akbas
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleriErtugrul Akbas
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplamaErtugrul Akbas
 
Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyonErtugrul Akbas
 
Loglari nerede saklayalım?
Loglari nerede saklayalım?Loglari nerede saklayalım?
Loglari nerede saklayalım?Ertugrul Akbas
 
Güvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaGüvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaErtugrul Akbas
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
 
Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?
Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?
Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?Ertugrul Akbas
 
5651 sayili kanun
5651 sayili kanun5651 sayili kanun
5651 sayili kanunErtugrul Akbas
 
Log correlation SIEM rule examples and correlation engine performance data
Log correlation SIEM rule examples and correlation engine performance dataLog correlation SIEM rule examples and correlation engine performance data
Log correlation SIEM rule examples and correlation engine performance dataErtugrul Akbas
 

More Related Content

What's hot

KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRErtugrul Akbas
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...Ertugrul Akbas
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıErtugrul Akbas
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Ertugrul Akbas
 
Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Ertugrul Akbas
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİErtugrul Akbas
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMErtugrul Akbas
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriErtugrul Akbas
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkıErtugrul Akbas
 
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Ertugrul Akbas
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleriErtugrul Akbas
 
Loglari nerede saklayalım?
Loglari nerede saklayalım?Loglari nerede saklayalım?
Loglari nerede saklayalım?Ertugrul Akbas
 
Güvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaGüvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaErtugrul Akbas
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
 
Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?
Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?
Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?Ertugrul Akbas
 

What's hot (20)

KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİR
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajları
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
 
Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEM
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkı
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleri
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
 
Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
 
Loglari nerede saklayalım?
Loglari nerede saklayalım?Loglari nerede saklayalım?
Loglari nerede saklayalım?
 
Güvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaGüvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglama
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
 
Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?
Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?
Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?
 

Viewers also liked

Log correlation SIEM rule examples and correlation engine performance data
Log correlation SIEM rule examples and correlation engine performance dataLog correlation SIEM rule examples and correlation engine performance data
Log correlation SIEM rule examples and correlation engine performance dataErtugrul Akbas
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
 
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Ertugrul Akbas
 
Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siemErtugrul Akbas
 
Log management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasaLog management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasaErtugrul Akbas
 
Ajanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaAjanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaErtugrul Akbas
 
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...Ertugrul Akbas
 

Viewers also liked (11)

5651 sayili kanun
5651 sayili kanun5651 sayili kanun
5651 sayili kanun
 
Log correlation SIEM rule examples and correlation engine performance data
Log correlation SIEM rule examples and correlation engine performance dataLog correlation SIEM rule examples and correlation engine performance data
Log correlation SIEM rule examples and correlation engine performance data
 
Why SureLog?
Why SureLog?Why SureLog?
Why SureLog?
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
 
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
 
Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siem
 
Log management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasaLog management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasa
 
Ertugrul akbas
Ertugrul akbasErtugrul akbas
Ertugrul akbas
 
Ajanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaAjanlı ve ajansız log toplama
Ajanlı ve ajansız log toplama
 
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
 
SureLog SIEM Jobs
SureLog SIEM JobsSureLog SIEM Jobs
SureLog SIEM Jobs
 

Similar to SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA SİEM DİYEN DE ÇOK. NASIL AYIRT EDECEĞİZ?

Kurumsal Yazılım Geliştirme ve Visual Studio 2008
Kurumsal Yazılım Geliştirme ve Visual Studio 2008Kurumsal Yazılım Geliştirme ve Visual Studio 2008
Kurumsal Yazılım Geliştirme ve Visual Studio 2008mtcakmak
 
Devfest Istanbul 2015 Sunumu
Devfest Istanbul 2015 SunumuDevfest Istanbul 2015 Sunumu
Devfest Istanbul 2015 SunumuAybüke Özdemir
 
ARM Mimarisinde Exploit Geliştirme
ARM Mimarisinde Exploit GeliştirmeARM Mimarisinde Exploit Geliştirme
ARM Mimarisinde Exploit GeliştirmeSignalSEC Ltd.
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziErtugrul Akbas
 
Network101 murat arslan
Network101 murat arslanNetwork101 murat arslan
Network101 murat arslanMURAT ARSLAN
 
İleri Seviye Programlama 2
İleri Seviye Programlama 2İleri Seviye Programlama 2
İleri Seviye Programlama 2Caner Bovatekin
 
Metasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiMetasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiFatih Ozavci
 
Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Mehmet Ince
 
Infraskope Security Event Manager
Infraskope Security Event ManagerInfraskope Security Event Manager
Infraskope Security Event Managerlogyonetimi
 
'Aspect Oriented' Programlama
'Aspect Oriented' Programlama'Aspect Oriented' Programlama
'Aspect Oriented' ProgramlamaArda Cetinkaya
 
Açık Kaynak Kodlu Yazılım Geliştirme
Açık Kaynak Kodlu Yazılım GeliştirmeAçık Kaynak Kodlu Yazılım Geliştirme
Açık Kaynak Kodlu Yazılım GeliştirmeSerkan Kaba
 

Similar to SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA SİEM DİYEN DE ÇOK. NASIL AYIRT EDECEĞİZ? (19)

Log yonetimi
Log yonetimiLog yonetimi
Log yonetimi
 
Kurumsal Yazılım Geliştirme ve Visual Studio 2008
Kurumsal Yazılım Geliştirme ve Visual Studio 2008Kurumsal Yazılım Geliştirme ve Visual Studio 2008
Kurumsal Yazılım Geliştirme ve Visual Studio 2008
 
Devfest Istanbul 2015 Sunumu
Devfest Istanbul 2015 SunumuDevfest Istanbul 2015 Sunumu
Devfest Istanbul 2015 Sunumu
 
ARM Mimarisinde Exploit Geliştirme
ARM Mimarisinde Exploit GeliştirmeARM Mimarisinde Exploit Geliştirme
ARM Mimarisinde Exploit Geliştirme
 
Java EE Struts
Java EE StrutsJava EE Struts
Java EE Struts
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
 
Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2
 
Visual Studio Developer Tools
Visual Studio Developer ToolsVisual Studio Developer Tools
Visual Studio Developer Tools
 
delphi
delphidelphi
delphi
 
14
1414
14
 
delphi xe5
delphi xe5 delphi xe5
delphi xe5
 
Network101 murat arslan
Network101 murat arslanNetwork101 murat arslan
Network101 murat arslan
 
İleri Seviye Programlama 2
İleri Seviye Programlama 2İleri Seviye Programlama 2
İleri Seviye Programlama 2
 
Metasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiMetasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik Denetimi
 
Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1
 
Infraskope Security Event Manager
Infraskope Security Event ManagerInfraskope Security Event Manager
Infraskope Security Event Manager
 
Freedom ERP / Barkod Uygulama Fikir ve Örnekleri
Freedom ERP / Barkod Uygulama Fikir ve ÖrnekleriFreedom ERP / Barkod Uygulama Fikir ve Örnekleri
Freedom ERP / Barkod Uygulama Fikir ve Örnekleri
 
'Aspect Oriented' Programlama
'Aspect Oriented' Programlama'Aspect Oriented' Programlama
'Aspect Oriented' Programlama
 
Açık Kaynak Kodlu Yazılım Geliştirme
Açık Kaynak Kodlu Yazılım GeliştirmeAçık Kaynak Kodlu Yazılım Geliştirme
Açık Kaynak Kodlu Yazılım Geliştirme
 

More from Ertugrul Akbas

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...Ertugrul Akbas
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiErtugrul Akbas
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonErtugrul Akbas
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakErtugrul Akbas
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıErtugrul Akbas
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast EditionErtugrul Akbas
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent responseErtugrul Akbas
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).Ertugrul Akbas
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMErtugrul Akbas
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryErtugrul Akbas
 

More from Ertugrul Akbas (20)

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda Almak
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
 
Neden SureLog?
Neden SureLog?Neden SureLog?
Neden SureLog?
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent response
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
Siem tools
Siem toolsSiem tools
Siem tools
 
KVKK
KVKKKVKK
KVKK
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data Discovery
 
SureLog SIEM Profiler
SureLog SIEM ProfilerSureLog SIEM Profiler
SureLog SIEM Profiler
 

SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA SİEM DİYEN DE ÇOK. NASIL AYIRT EDECEĞİZ?

  • 1. SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA SİEM DİYEN DE ÇOK. NASIL AYIRT EDECEĞİZ? SIEM ürünleri görünüşte birbirine benziyor. Hatta Log yönetimi yapıp da SIEM olduğunu söyleyen ve korelasyon vurgusu yapan ürün de çok. Nasıl ayırt edeceği. Bu kafa karışıklığının sebebi ne? Açık kaynaklogürünleri çokpopülerolmaklabirlikte ne kadarderde devaolduğu tartışılır.Herkesinde bildiği gibi neredeyse yüzlerce açık kaynak log yönetimi çözümü mevcut. ELK/Solr/Lucene ve Spark/Storm zatenartık standartolupbunlarınüzerinebiriki regexve birarayüz(GUI) giydiripyenibir teknoloji imiş gibi sunmak sadece gerçek SIEM algısına balta vurmak ve bu SIEM den fayda ummak boşmuş, bu teknolojiden fayda gelemez dedirtmekten başka bir şeye yaramaz. Bir log arama motoru yapmak artık çok kolay. Parçaları birleştirerek bile aşağıdaki ekranları oluşturabilirsiniz. https://www.elastic.co/blog/kibana-3-0-0-ga-now-available Bunun için  ELK  Apache Spark/Storm  Kafka/Zeromq/Redis Ürünlerini birlikte kullanmak yeterli. Genelde ürünler seçilirken aslında belli bir seviyede log yönetimi yapabilecek ürünler SIEM olarak alınıyor. Daha sonrasında ise SIEMolarak alınan bu yazılım sadece iki şey için kullanılıyor:  Log Arama Motoru  En Çok Analizleri
  • 2. dolayısı ile ürünün güvenlik analizleri açısından hiçbir faydası olmamaktadır. Burada ürünleri üç gruba ayırabiliriz.  Açık kaynak üzerine kurulu servis olarak sunulan ürünler  Açık kaynak yazılımın kopyasını yeni bir teknoloji olarak sunup YENİ BİR ARAYÜZ İLE DÜNYANIN EN İYİ SIEM İNİ BİZ YAPTIK DİYEN ürünler.  Aslında Log Yönetimi olarak tasarlanıp SIEM olarak pazarlanan ürünler. Log Analiz (Parser) Kütüphanesi Yukarıdaki ürünler log analiz(parser) yeteneği olarak etrafta bulunan kaynaklardan ve firma kendi yetenekleriilene geliştirdi iseondanoluşanbir loganaliz(parser) listesioluşturmayaçalışmaklabirlikte genelde  Log kaynağını 1 hafta dinleyelim ona göre log analiz(parser) yazalım  Sistem çalışırken bakarız ona göre eksikleri ekleriz gibi yöntemleri de kullanarak loganaliz(parser) kütüphanesi oluştururlar.Buyönteminne kadareksik olduğunugösterebilmekadına TippingPointiçinANETSureLogSIEMloganaliz(parser) dosyasıörneğini verirsek  Regex sayısı yaklaşık 11 bin adet  İmza(Signature) adedi yaklaşık 10 000 adet (Zaten pek çok yazılımda karşılığı yok!!) Veyabenzerşekilde “dünyadaeniyi SIEMçözümübiziz”benzeri sloganlara Elastic/Sparktemelli ticari bir ürünün Fortigate Firewall ile ilgili log analiz(parser) kütüphanesi (regex dosyası+parser kodu) toplamda yaklaşık 5000 satırdır. ANET SureLog SIEM in sadece parser dosyası ise 100000 satırın üstündedir evet yanlış okumadınız yüzbin satırdan büyük bir dosya ve yüzlerce regex ve on binlerce imza(signature) dan oluşmaktadır. Peki fark ne!!! Fortigate için farkı anlatmak gerekirse fortigate logları içindeki log_id, attack_id, SN gibi alanların kombinasyonlarına göre SureLog SIEM bu logu  Malicious.PasswordCracking  Malicious.Virus  Malicious.Worm  Malicious.Bot  Malicious.Web.Injection Veya  Compromised.Trojan  Compromised.Trojan.Response gibi 1500 e yakın tiptenbiri olaraktespiteder(Taxonomy).Loganaliz(parser) işlemleri pek çokaçıdan daha detaylıincelenebilir.Bunlardanbiri de logzenginleştirme verilerinindoğruluğudur.Aşağıdayine yukarıda bahsedilen yazılımın log zenginleştirme verisi ile Fortigate kullanıcı kılavuzunun
  • 3. karşılaştırması görülmektedir. Hata çok barizdir. Üretici tarafından Error olarak kategorize edilen olay üründe Info olarak gösterilmiştir. Benzer bir analizi de TrendMicro DeepSecurity için yaparsak "378": { "SubType":"Info", "Type":"Operation", "Context":"System" } https://help.deepsecurity.trendmicro.com/Events-Alerts/ref-events- system.html Hata yine çokbarizdir. Üreteci tarafından Warning olarak ifade edilen bir event info olarak parse edilmiştir. Bir SIEM ürününün amacı logu kaynak IP, Hedef IP, URL, kaynak port, hedef port, kullanıcı, action, gönderilen paket boyutu, alınan paket boyutu vb.. alanlara ayırıp sonra  Log Arama Motoru  En Çok Analizleri Yapmak DEĞİLDİR!. Zaten bunlar en basit bir ürün için bile olmazsa olmaz temel özelliklerdir. Logu analiz etmekten kasıt onu anlamlandırmaktır.  Bu Log ne için oluşmuş?  Hangi olayın bir parçası?  Dikkat etmemiz gereken bir durum oluşmuş mu? Şüpheli bir aktivite logu mu?  Diğer hangi loglarla ilişkili? Gibi bilgilerin logunanaliz edilmiş halinde kullanıcı tarafından bulunabilmesi ve bütün log tipleri için aynı gruplandırmanın uygulanmasıdır (Taxonomy) Gruplandırma(Taxonomy) Karşılaştırmasınıokuyucuyabırakarakdiğerbir konuolangruplandırma(taxonomy)konusunageçelim. Raporlama ve de daha önemlisi korelasyon için taxonomy kritiktir. Kısaca taxonomy yi anlatmak gerekirse  Aruba Wireless  Fortinate Firewall  Windows Sunucu  Linux Server  McAffe IPS
  • 4. den gelen yeni bir kullanıcı oluşturuldu olayı “Informational.Account.Created” taxonomy grubuna eklenmeli ki hem raporda hem de korelasyonda kullanabilelim. Şöyle ki:  Oluşturulan kullanıcıların raporlarını oluştur  Yeni bir kullanıcı oluşturulursa uyar gibi raporve korelasyonlaroluşturulabilmeli.Bunuyapabilmekiçinbütünloglarıbilenmodatabirle bir üst akıl yani her bir loguparça parça parse etmekyerine diğerleri ile ilişkisini bilerekparse edebilecek bütünleşikbir parser motoruna sahip olmalı. Açık kaynak dünyası pek çok log tipini parse etmekiçin regex,kod,scripte sahipolsabile hiçbiri aynıtiplogiçinaynı/ortak birtaxonomy oluşturamamakta!. Dolayısı ile yeni bir kullanıcı oluşturuldu raporunu çekmek için en iyi durumda ayrı ayrı  Aruba Wireless  Fortinate Firewall  Windows Sunucu  Linux Server  McAffe IPS loglarından5 farklırapor çekmenizgerekmektedir.Eğerbirde bu loglarkullanıcıoluşturuldu şeklinde parse edilmiyorsa işin içinden çıkmak iyice zorlaşır. Aynı şekilde taxonomy özelliği olan bir ürünlerle “Yeni bir kullanıcı oluşursa uyar” diyebilecekken  Aruba Wireless da yeni bir kullanıcı oluşursa uyar VEYA  Fortinate Firewall da yeni bir kullanıcı oluşursa uyar VEYA  Windows Sunucu da yeni bir kullanıcı oluşursa uyar VEYA  Linux Server da yeni bir kullanıcı oluşursa uyar VEYA  McAffe IPS da yeni bir kullanıcı oluşursa uyar Gibi yazmakgerekir.Hele birde eğer bir de bu loglarkullanıcı oluşturulduşeklinde parse edilmiyorsa işin içinden çıkmak iyice zorlaşır. Başka bir örnek vermek gerekirse Fortigate logları içinde Virüsün başarı bir şekilde karantinaya alınması ile ilgili loglarilerTrendmicroOficeScanloglarıiçindeki Virüsünbaşarıbirşekilde karantinaya alınması loglarını aynı gruba ayırmalı (Taxonmy) ki hem raporlarda hem de korelasyonda karantinaya alınan virüsile ilgili raporve korelasyonlarıkonuşurgibi yazabilelimve oluşturabilelim.Diğertürlüher üreticinin loğunu son kullanıcı olarak bizim bilmemiz ve normalize edilmiş alanlarda ID,mesaj vb.. alanlara göre arama yaparak bizim bir şeyler yapmamız gerekir. Diğer bir anlatımla son 1 günde kötü niyetli (Malicious) bütün olayları raporla veya kötü niyetli (Malicious) bir olay olursa uyar gibi istekler eğer Taxonomy modülü olmazsa bütün log tiplerinin (Örnek: Aruba Wireless, Fortinate Firewall, Windows Sunucu, Linux Server, McAffe IPS, Fortigate) tanınması ve kötü niyetli olaylar için logun içindeki alanların kullanıcı tarafından bilinmesini vs.. gerektirir ki bu da ürünü çöpe atmak demek. Taxonomy ile ilgili detay bilgi için http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi Korelasyon
  • 5. Son olarak da korelasyon yeteneğini değerlendirirsek bu tarz yazılımlarda gerçek manada bir korelasyonmotoruyoktur.Dolayısıile gerçekmanada bir korelasyon yeteneğindensözedilemez.Bu tarz yazılımların genelde uyguladığı  Elastic temelli elastalert https://github.com/Yelp/elastalert  Ekrandaki text alanlarına sorgu girilmesi  Ekrandaki text alanlarına arama dili ile cümlecik girilmesi  Ekrandaki text alanlarına özel notasyonlu cümlecik yazmak  Script  Yazılım dili  Arama dili ile sağlanması gibi kısıtlı ve hiç de kullanıcı dostu olmayan yöntemlerle çözmeye çalışmaktadır. Bu yöntemlerin dezavantajlarının detayları için http://www.slideshare.net/anetertugrul/log-yonetimi- korelasyon-ve-siem , http://www.slideshare.net/anetertugrul/surelog-siem-ve-log-ynetimi-zm- stnlkleri ANET SureLog SIEM Korelasyon özelliği ile bu yöntemleri kıyaslarsak; aşağıda görüleceği gibi her şey görsel ve sihirbaz temellidir. Gelişmiş kurallarıbusihirbazvasıtasıile yazabilirsiniz. 1. Bir kullanıcı15 dakikadaaynı makinada3 başarısız oturumdenediktensonra,2saat içerisinde başkabirmakinada(önceki başarısızoturumaçtığı makine dışında) da başarısız oturumaçarsa uyar 2. Bir kullanıcı15 dakikadaaynı makinada3 başarısız oturumdenediktensonra,2 saat içerisinde bu makinadankendi makinasınaoturumaçarsauyar
  • 6. 3. Bir kullanıcıherhangi birsunucuyaloginolamayıpauthenticationfailureasebepolduktan sonra 2 saat içerisinde aynıkullanıcının aynısunucuyabaşarılı oturumaçmadığı takdirde uyar, 4. Ertuğrul kullanıcısının(Herhangi birX Kullanıcısı) son1 aydır hiçgitmediği birsiteyegitmesi durumundauyar, 5. UnusualUDPTrafficüretenkaynakIPyi bildir, Gibi kurallar hazır olarak gelmekte ve benzeri veya daha karmaşık kurallar kolay ara yüzlerle oluşturulabilmektedir. Özetlersek:  Parser listesinin genişliği ve doğruluğu  Taxonomy  Korelasyon Belirleyicidir.