Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
SIEM Ürünlerinin Karşılaştırılması
SIEMürünleri ve buürünlerinperformansanalizleri ürünleri değerlendirmeaçısındançoköneml...
Yukarıdaki tablodaverilendeğerleri etkileyecekönemli parametrelerdenbazıları [10,11]
 Toplamkural sayısı [12]
 Kuralları...
9. https://www.netiq.com/documentation/sentinel70/s701_install/data/btmckgy.html#bwwvo
ik
10. http://blogs.gartner.com/ant...
Upcoming SlideShare
Loading in …5
×

Siem SureLog Arcsight Qradar Alienvault Solarwinds Performans Verileri

1,114 views

Published on

SIEM SureLog Arcsight QRadar AlienVault SolarWinds Performans Verileri

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Siem SureLog Arcsight Qradar Alienvault Solarwinds Performans Verileri

  1. 1. SIEM Ürünlerinin Karşılaştırılması SIEMürünleri ve buürünlerinperformansanalizleri ürünleri değerlendirmeaçısındançokönemlidir. SIEMürünlerininçalışmaperformansları,gerekduyduklarıkaynaklar(CPU,RAM,DISK) ve ihtiyaç duyulanEPSdeğerlerinde nasıl birperformansgöstereceği önemlidir. ORTALAMA EPS ANET HP Qradar AlienVault Sentinel Solarwinds 100 4 GB RAM, 4 core, RAID 10 10,000 RPM 36 GB RAM, 8 core, RAID 10 15,000 RPM Dual processor, 3 GHz, 8 GB RAM 250 8 GB RAM, 4 core, RAID 10 10,000 RPM 36 GB RAM, 8 core, RAID 10 15,000 RPM 500 8 GB RAM, 6 core, RAID 10 10,000 RPM 36 GB RAM, 8 core, RAID 10 15,000 RPM 1000 16 GB RAM, 8 core, RAID 10 15,000 RPM 36 GB RAM, 8 core, RAID 10 15,000 RPM 64 GB RAM 2 x Intel Xeon E5620 2.4GHz 8 Cores, 24 GB RAM 8 Core, 24 GB RAM 2500 32 GB RAM, 16 core, RAID 10 15,000 RPM 36 GB RAM, 16 core, RAID 10 15,000 RPM 5000 48 GB RAM, 24 core, RAID 10 15,000 RPM 64 GB RAM, 24 core, RAID 10 15,000 RPM 7500 64 GB RAM, 32 core , RAID 10 15,000 RPM 128 GB RAM, 32 core , RAID 10 15,000 RPM Yapılan SIEMprojelerinde sisteminortalamaEPSdeğerleri ile max EPSdeğerleri arasındaki ilişkive sistemkaynaklarınınonagöre planlanmasıkritikbiraşamadır.Her şeyyolundaiken1000 EPS log üretinbirsistemsaldırı,virüsbulaşmasıgibi durumlardanerelereçıkabilirve böyle olursakuruluSIEM sistemi nasıl davranırbunlarıplanlamakkritiktir.[1,6] Bu çalışmada HP Archsight,ANETSureLog,IBMQradar, AlienVault,Novell Sentinelve Solarwinds LEM karşılaştırması yapılmıştır. Üretici tablolarınınbazılarındaortalama bazılarındaise max. EPS değerleri belirtilmiştir. Yukarıdaki tabloiçinbu değerlerortalamaçevrilmiştir.
  2. 2. Yukarıdaki tablodaverilendeğerleri etkileyecekönemli parametrelerdenbazıları [10,11]  Toplamkural sayısı [12]  Kuralların zorlukdereceleri o A kullanıcısı X sunucusuna loginolamayıp authenticationfailure a sebepolduktan sonra 2 saat içerisinde aynı A kullanıcısınınaynı X sunucusuna başarılı oturum açmadığı takdirde uyar o Hedefportu 67 olan protokolu UPD olan ve HedefIP si kayıtlı DHCP sunucu listesinde olmayanbir trafik dakikada 2 denfazla oluşursa uyar o Mesai saatleri dışındasunuculara ulaşan olursa uyar o Farklı dışIP lerdenaynı hedefIP ye dakikada 100 adetten fazla bağlantı oluşuyorsa uyar o Aynı Dış IP ve farklı portlardan aynı hedefIP ye dakikada 100 adet bağlantı olursa uyar o Aynı kullanıcı,aynı makineye saatte 3 denfazla başarısız oturum açmayı denerse uyar o IPReputationlistesindeki birIPye hedef veyakaynakIPerişimi olursauyar  Korelasyonhızı  Taxonomyözelliklerive kategori sayıları  Korelasyontipi o Gerçekbir korelasyonmotoruve Hafızadakorelasyon( in-memory correlation) o ELK temelli,aslındaaramaolanyöntemler Yapılan karşılaştırmaortalamadeğerlerüzerindenolupMAXdeğerleriçinenazındanbuözellikleri 1,5-2 ile genişletmekgerekir.EPSdeğerlerinin doğruplanlanmasıve sisteminyüksekyükaltında davranışları tamamenbusistemkaynaklarıile ilişkilidir. AyrıcadiğerkritikkonudaLog yönetimi çözümleri ile SIEMçözümlerininsistemkaynakihtiyacıfarklıdır. ÖrnekolarakANET SureLogçözümünde [8] 1000 EPS içingereken8 core ve 16 GB RAM; korelasyon modülününaktive edilmemesi durumunda8GB RAMve 4 core a düşmektedir. Referanslar 1. http://www.slideshare.net/anetertugrul/log-ynetimi-sisteminizin-log-karp-karmadn-test- etmek-ister-misiniz 2. http://www8.hp.com/tr/tr/software-solutions/arcsight-esm-enterprise-security- management/tech-specs.html 3. http://www.solarwinds.com/log-event-manager.aspx#p_systemrequirements 4. https://www.alienvault.com/docs/data-sheets/AV-USM.pdf 5. http://www- 01.ibm.com/support/knowledgecenter/SS42VS_7.2.4/com.ibm.qradar.doc_7.2.4/c_hwg_310 5_allone_base.html 6. http://www.slideshare.net/anetertugrul/normal-artlarda-200-250-eps-logum-anca-oluyor- yksek-performansa-neden-ihtiya-duyaym 7. http://www.slideshare.net/anetertugrul/log-yonetiminde-cihaz-sayilari-ile-eps-degerleri- arasindaki-iliski 8. http://www.slideshare.net/anetertugrul/surelog-international-edition
  3. 3. 9. https://www.netiq.com/documentation/sentinel70/s701_install/data/btmckgy.html#bwwvo ik 10. http://blogs.gartner.com/anton-chuvakin/2014/06/17/on-siem-tool-and-operation-metrics/ 11. https://www.sans.org/reading-room/whitepapers/analyst/benchmarking-security- information-event-management-siem-34755 12. http://www.slideshare.net/NOVL/how-to-architect-a-novell-sentinel-implementation

×