Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları
ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?
Bu sunum web uygulamalarının kritikliği ne kadar düşük olursa olsun uygulama açıklıklarının sistem ve ağ güvenliğini tehdit edebileceğini göstermektedir.
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir.
Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları
ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?
Bu sunum web uygulamalarının kritikliği ne kadar düşük olursa olsun uygulama açıklıklarının sistem ve ağ güvenliğini tehdit edebileceğini göstermektedir.
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir.
Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. Korelsayon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pekçok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
Modern log yönetimi sistemleri ve trafik analiziErtugrul Akbas
Modern Log Yönetim sistemlerinin sadece log arama ve log sayma (log search - log count) işlemlerinden çok daha gelişkin özelliklere sahip olması gerekir.Modern log yönetimi sistemlerinde olması gereken pek çok özellikten biri de trafik analizi yeteneğidir. Bu yetenek hem trafik, protokol ve güvenlik unsurlarını trafiğe etkisi hem de bu korelasyon kurallarına etkisi açısında çok önemlidir.
This chapter is devoted to log mining or log knowledge discovery - a different type of log analysis, which does not rely on knowing what to look for. This takes the “high art” of log analysis to the next level by breaking the dependence on the lists of strings or patterns to look for in the logs.
Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM ) sistemlerinde amaç kullanıcının en yalın ve kolay bir şekilde sistemin güvenli bir şekilde yönetilmesini sağlamaktır. Korelasyonun bunun olmazsa olmazıdır. Özellikle Türkiye'de korelasyon konusu üzerinde çalışmaya ihtiyaç vardır. Pek çok veri analiz yöntemi yanlış yönlendirme sonucu korelasyon olarak algılanabilmektedir.
Enhancing SIEM Correlation Rules Through BaseliningErtugrul Akbas
Enterprise grade software has been updated with a capability that identifies anomalous events based on baselines as well as rule based correlation engine, and alerts administrators when such events are identified. To reduce the number of false positive alerts we have investigated the use of different baseline training techniques and introduce the use of 3 different training approaches for baseline detection and updating lifecycle
Aşağıda gerçekleştirilen projeler, daha önceden başka ekipler tarafından yapılan projelerin analizlerinde elde ettiğim tecrübelerimi paylaşmaya çalıştım. Aşağıda teknik unsurlar özetlenmeye çalışılacak. Bununla birlikte bir projenin başarılı olabilmesi için proje ekibinin çok önemli bir etken olduğu unutulmamalıdır.
Log Yönetimi projelerinin demo aşamalarında can alıcı derecede önem arz eden EPS değerlerinin hesaplanması ve kurulacak olan sistemin bu değerleri karşılayıp karşılayamadığının kontrolünün atlandığı ve bu tür bir gözden kaçırmanın acısının aylar sonra hissedildiği durumların ortaya çıkmaması için dikkat edilmesi gereken hususları listelemek istedik.
DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
Yasal sorumluklardan dolayı ve güvenlik analizleri için ağ yöneticilerine, belirli tarihte bir IP adresini kimin kullandığı sorusu sık sık sorulur. Eğer bütün kullanıcılar bir hotpot/Proxy/Captive Portal kullanılıyorsa bu soruya cevap vermek kolaydır. Ama kullanılmayan durumlarda diğer yöntemlerden faydalanmak gerekir. Burada 802.1x Ağ Kimlik Denetimi Protokolü ve MAC adresi temelli kimlik denetimi devreye girer. 802.1x kimlik denetimi protokolü OSI’ye göre ikinci katman protokolüdür ve oluşan logda sadece MAC bilgisi bulunur dolayısı ile başka bir networke taşınmaz ayrıca soru IP adresini kim kullandı şeklindedir. MAC adresi temelli kimlik denetimi ise pratikte uygulaması imkansızdır. Mesela MAC adresi değiştiren programlar vs.. . Bu durumda MAC ve IP arasındaki ilişkileri her durumda alıp otomatik korelasyona tabi tutan bir sistem gerekmektedir. Bunun da yolu DHCP Sunucu loğları ile gatewaylerdeki ARP tablosunu takip edip sonuçları korele etmektir.
Bilgi Güvenliği üzerine ARGE yapmak ve müşteriye ihtiyaç duyduğu ürünleri üretebilmek amacıyla kurulmuştur. 1999 yılından beri bilgi güvenliği konusunda sahip olduğu deneyimleri ile bu konuda çalışan herkesin işini kolaylaştırma hedefindedir. Bu bağlamda ilk iş olarak SECURISKOP projesini gerçekleştirmiş ve bunu bir ürün haline getirmiştir. SECURISKOP, piyasada bulunan güvenlik açıklıkları tarama yazılımlarını yönetip, bunlara ek özellikler sağlayarak, güvenlik açıklıkları ve bunların kapatılmasını kolaylaştıran bir platformdur.
Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.
Türkiye'nin ilk ve tek doküman yönetim sistemi ve elektronik arşiv earşiv sistemi bir arada yazılmı, doküman yönetim sistemine farklı bir bakış açısı getiriyoruz.
Döküman yönetim sistemi ve dijital arşiv sistemini tek bir yazılımda sağlıyoruz, belgelerinizi yönetin arşivleyin, yetkilendirin, hepsi sizin elinizde, kendi google arama motorunuzu oluşturmanızı sağlıyoruz. Advanced Document Management System.
Log Yönetimi SIEM Demek Değildir!. Türkiyedeki pek çok projede Log Yönetimi ile SIEM aynı şey olarak algılamakta. Hatta Log Yönetimine ufak ve basit bir modül eklenerek SIEM yapıldığı sanılmaktadır. Aslında ise SIEM Log Yönetiminden çok farklı ve kompleks bir sistemdir. SIEM bir log toplama, parçalara bölüp sonra da arama demek değildir.
Similar to Log Yonetimi ve SIEM Kontrol Listesi (20)
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...Ertugrul Akbas
Toplanan logların denetim, yönetmelik ve kanunlar açısından ve özellikle de BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetimleri, KVKK ve 5651 Sayılı Yasa Açısından Loglar ve Bu Logların T.C Mahkemelerince geçerliliğini dört başlık altında değerlendireceğiz:
1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar
2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği
3. Zaman damgası sunucusu senkronizasyonu
4. Denetim izlerinin bütünlüğünün periyodik kontrolü
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiErtugrul Akbas
Olaylara müdahale etmek için uzun vadeli, çevrimiçi, hemen erişilebilir ve canlı kayıtların tutulması gerektiğini söyleten birçok öneri ve yönetmelik vardır. Güvenlik açısından, bir logun amacı, kötü bir şeylerin olması durumunda kırmızı bir bayrak olarak hareket etmektir.
MITRE'nin "Dünya Standartlarında Siber Güvenlik Operasyon Merkezlerinin 11 Stratejisi", SOC analistleri, SOC adli bilişim/inceleme analistleri ve dış denetim ve soruşturma süreçlerinin farklı ihtiyaçlarını tanımlayarak, SOC içinde en az altı (6) ay ile 2+ yıl canlı kayıt saklama önermektedir [1].
ABD Yönetim ve Bütçe Ofisi, Yürütme Daireleri ve Ajanslar Başkanlarına Yönelik Memorandum (Bilgisayar Güvenliği Olayları ile İlgili Federal Hükümetin Soruşturma ve Çözümleme Yeteneklerinin Geliştirilmesi) yönergesi 12 ay aktif depolama (canlı log) ve 18 ay arşiv süreleri belirlemiştir [2].
Kanada Hazinesi Sekreterliği'nin Olay Günlüğü Yönergesi, 90 gün ile iki yıl arasında kayıt süreleri belirlemiştir [3].
Ayrıca, gerçek dünya saldırı vakaları uzun vadeli canlı logları zorunlu kılmaktadır. SolarWinds hack'inin zaman çizelgesi, canlı log kullanımının siber saldırıları tespit etmede ve yanıtlamada ne kadar kritik olduğunu göstermektedir.
Saldırı, tehdit aktörlerinin Eylül 2019'da SolarWinds ağına izinsiz erişim kazandığı zaman başladı. 18.000'den fazla SolarWinds müşterisi kötü amaçlı güncellemeleri yükledi ve kötü amaçlı yazılım yayıldı.
Ancak saldırı Aralık 2020'ye kadar tespit edilemedi. İşte SolarWinds hack'inin zaman çizelgesi:
• Eylül 2019: Tehdit aktörleri SolarWinds ağına izinsiz erişim kazanıyor
• Ekim 2019: Tehdit aktörleri Orion'a ilk kod enjeksiyonunu test ediyor
• 20 Şubat 2020: Orion'a enjekte edilen Sunburst adlı kötü amaçlı kod
• 26 Mart 2020: SolarWinds, hacklenmiş kod ile Orion yazılım güncellemeleri göndermeye başlar.
SolarWinds hack ilk olarak Aralık 2020'de tespit edildi.
Korelasyon SIEM ürünleri ile saldırı, şüpheli aktivite ve gözetleme işini yapan kısımdır. SIEM ürünlerinin en kritik, en önemli ve en değerli yeteneği korelasyon yeteneğidir. Ürünlerin korelasyon yetenekleri öncelikle ikiye ayrılır
• Gerçek zamanlı korelasyon yapabilenler
• Periyodik sorgu ile korelasyon yapanlar
Periyodik sorgu ile korelasyon yapan ürünler de kendi aralarında ikiye ayrılır
• Hiç gerçek zamanlı sorgu çalıştıramayanlar
• Gerçek zamanlı sorgu çalıştırıp ama sayısına limit koyanlar [1,2,3,4,5]
Saldırı, şüpheli aktivite ve gözetleme işini yaparken SIEM ürünlerinde korelasyon kurallarını veya makine öğrenmesi modellerini, istatistiksel ve matematiksel tespit yöntemlerini kullanırız. Dolayısı ile tespit işlemi de kendi arasında alt kategorilere ayrılır. Mevcutta bulunan ürünlerin detaylı korelasyon özelliklerinin anlatıldığı [6,7,8] numaralı referanslara bakılabilir. Ben bu makalede daha kolay kıyaslama yapılabilmesi adına öteden beri var olan ve en basit SIEM ürünlerinde bile olmasa gereken senaryo kalıplarını ve her kalıpla ilgili akılda canlanması için birkaç örnek senaryoyu ve daha sonra da iyi bir SIEM de olması gereken senaryo kalıplarını ve birer ikişer adet örneği paylaşacağım
SureLog birden fazla teknolojik alanda avantajları olan bir SIEM çözümüdür. SureLog SIEM Dünya'da logları en az disk kullanarak en uzun süre tutabilen SIEM çözümüdür. Korelasyon yeteneği dünyadaki en kuvvetli ürünler arasındadır. Kullanım kolaylığı, raporlama yetenekleri ve fiyatı da ayrıca diğer avantajlarıdır.
SureLog SIEM canlı logları (indeksler) en fazla sıkıştırabilen yazılımdır. Yerli ve yabancı tüm rakiplerine göre 10 ile 40 kat arası daha fazla sıkıştırır. Bu da aynı disk miktarı ile 10 - 40 kat daha uzun süre canlıda tutabilmesi demektir. Ayrıca SureLog SIEM dünyadaki en yetenekli korelasyon motorlarından birine sahiptir
SIEM çözümleri son otuz yıldır piyasada ve her geçen gün SIEM çözümlerine olan ihtiyaç artarak devam etmekte. Ayrıca KVKK, GDPR, ISO27001, PCIDSS, BDDK, 5651 gibi uyumluluklar her ölçekte firmanın SIEM gereksinimi ortaya çıkarmaktadır. Bu son 30 yıl içerisinde BT organizasyonlarındaki değişiklikler ve ihtiyaçlar artarken özellikle küçük ve orta ölçekli firmalarda SIEM ile ilgili öne çıkan en önemli ihtiyaç ürün maliyeti olmuştur. Bu noktada SureLog SIEM Fast Edition Dünya’nın en ekonomik SIEM çözümü olarak rakipsiz bir avantaj ve imkan sunabilmektedir. Gelişen ve değişen BT altyapıları ile birlikte ortaya çıkan ikinci kritik özellik veriye her an erişim ihtiyacıdır. Özellikle Solarwinds hack olayı logların yıllarca canlı durmasının gerekliliğini ortaya koydu. Ayrıca IBM tarafından hazırlanan “Bir Veri İhlalinin Maliyeti Raporu 2020” ye göre de bir ihlalin tespit edilip kontrol altına alınması için gerekli minimum süre 280 gün. Bu noktada da SureLog SIEM ürün ailesi dünyadaki en iyi canlı log sıkıştırma yeteneği ile çok çok düşük disk miktarları ile logları yıllarca canlıda ve on yıllarca arşivde tutabilmektedir.
SureLog SIEM ailesinin diğer bir kuvvetli özelliği korelasyondur ve Fast edition bu noktada fiyat performans olarak bakılırsa yine Dünya’daki en avantajlı üründür.
SureLog SIEM Fast Edition, ANET SureLog SIEM ürün ailesinin en yeni ürünüdür ve ANET SureLog ürün ailesinin diğer üyeleri olan SureLog SIEM KVKK Edition ve SureLog SIEM Standart Edition ile aynı platform üzerinde geliştirilmiş olup aynı teknolojik avantajları son kullanıcılara ilgili lisanslar dâhilinde sunmaktadır
SureLog SIEM avantaj ve farkları
1-SureLog SIEM avantajlarından ilki logların canlıda yıllarca tutulabilmesidir.
SureLog SIEM piyasadaki bütün yerli ve yabancı SIEM ürünleri arasında logları en az disk kullanarak en uzun süre canlıda tutabilen yazılımdır.
SureLog SIEM logları yıllarca canlıda tutabilirken rakipleri ancak arşivde tutabilir.
Canlı ile arşiv farkı nedir derseniz aşağıdaki makaleleri inceleyebilirsiniz.
https://drertugrulakbas.medium.com/siem-%C3%A7%C3%B6z%C3%BCmlerinde-loglar%C4%B1n-canl%C4%B1da-tutulmas%C4%B1-ile-ar%C5%9Fivde-tutulmas%C4%B1n%C4%B1n-fark%C4%B1-fe221ee8613b
https://drertugrulakbas.medium.com/siem-ve-loglar%C4%B1-%C3%A7ok-uzun-s%C3%BCre-canl%C4%B1da-tutman%C4%B1n-kritikli%C4%9Fi-sahadan-tecr%C3%BCbeler-e92c06588c77
https://drertugrulakbas.medium.com/loglar%C4%B1n-ar%C5%9Fivden-d%C3%B6n%C3%BClmesi-mi-a82182741efd
2- Performans
Log kaçırma yapmaz ve yüksek log trafiği altında çok performanslı çalışır
3-Kullanım kolaylığı
SureLog SIEM i biz tasarlarken kullanıcını ofis uygulaması kullanacağı kolaylıkta olmasını istedik. Kullanım kolaylığı ile ilgili olarak SureLog SIEM youtube kanalımızdaki videoları inceleyerek fikir sahibi olabilirsiniz.
https://www.youtube.com/channel/UCtNQ4ArSPXTYhyzfz4WYqdg
4-Taxonomy
Son kullanıcın logun içindeki binlerce ID, kelime veya formatı bilmesi imkansız derecesinde zordur. Kullanıcıların log formatı, logun içindeki kelime veya kelime kombinasyonlarını bilmesine gerek kalmadan güvenlik yönetimi yapabilmesini sağlayan taxonomy modülü SureLogun diğer bir avantajıdır. SureLog Taxonomy modülü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://anet-canada.ca/2019/06/21/the-true-power-of-surelog-taxonomy/
https://drertugrulakbas.medium.com/why-is-taxonomy-important-and-extensive-surelog-siem-taxonomy-features-824ed40d89b3
https://drertugrulakbas.medium.com/siem-%C3%BCr%C3%BCnlerinin-taxonomy-%C3%B6zelliklerinin-fark%C4%B1-8b31c91f80ad
https://drertugrulakbas.medium.com/taxonomy-makes-raw-data-human-understandable-fbf92370139d
https://drertugrulakbas.medium.com/surelog-siem-taxonomy-ile-dikkatimizden-ka%C3%A7an-olaylar%C4%B1-yakalamak-1a7716ff8d92
5-Korelasyon
SureLog dünyada en iyi korelasyon yeteneğine sahip ilk 5 ürün arasındadır. SureLog korelasyon özelliğinin gücü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://drertugrulakbas.medium.com/ger%C3%A7ek-siem-korelasyon-motorunun-faydalar%C4%B1-2879bd510de2
SureLog SIEM in farkları ve rakiplerine göre avantajları nelerdir?
Dünyada canlı logları en az diskle en uzun tutabilen SIEM çözümüdür. Global rakiplerinin 80-100 katı daha az disk kullanır.
Maksimum 3000 EPS log akışı altında 12 ay canlıda tutmak için 2.5 TB yeterlidir. En iyi durumda bu 1 TB a kadar inebilir.
Rakipleri ile kıyaslanmayacak kadar performanslı çalışır.
25000 EPS log akışını standart korelasyon kütüphanesi ile 64 core,256 GB RAM ile çalıştırır.
Pek çok gelişmiş senaryoyu çalıştırabilecek tek SIEM çözümüdür. Dünyada korelasyon yetenekleri en gelişmiş ilk 5 SIEM ürününden biridir.
Kullanımı çok kolaydır. Herhangi yeni bir şey öğrenmeye gerek kalmadan kullanıcı ara yüzünü tamamen fare (mouse) ile kullanabilir ve yönetebilirsiniz.
Dünyadaki taxonomy özelliği en gelişmiş SIEM çözümüdür.
SIEM solutions are responsible for the automated analysis of
events, which sends alerts to the concerned security team for
notifying them about the immediate issues and taking automated actions in parallel. SureLog SIEM response actions are intelligent.
KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.
Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
Log Yonetimi ve SIEM Kontrol Listesi
1. Log Yönetimi&SIEM Kontrol Listesi
Log Toplama Yöntemleri
WMI
SYSLOG UDP
SYSLOG TCP
SNMP
SNMP TRAP
Shared Directory
Ajanlı/Ajansız
JDBC/ODBC
SSH
OPSEC(Open Platform for Security)
API
Log Parsing&Normalization
Hangi sistemlerle entegre? Örnek: Cisco, Windows, VmWare,Linux,Fortinate vb..
Time difference adjustment özelliği var mı?
Mimari
Sistem dağıtık mimariyi destekliyor mu? Örneğin Storage server ayrı, WEB Server ayrı ve Engine ayrı ayrı sunuculara kurulabiliyor mu?
Replikasyon imkanı var mı?
İhtiyaç oldıukça mimari genişleyebilir mi?
Korelasyon Motoru
Genel Özellikler
Korelasyon Motoru Hafızada (inMemory) çalışabiliyor mu? Yoksa sadece veritabanı üzerinde mi çalışıyor
Kullanılan veritabanı (SQL veya NoSQL) servisi stop edilse bile korelasyon kuralları çalışabilir mi?
Korelasyon kuralları real time çalışabiliyor mu? Yoksa sadece belli periyotlarla mı kurallar (alarmlar) run ediyor
Kural Özellikleri
Log/veri toplanan herhangi bir kaynağa ait bir olay gerçekleştikten sonra belirli bir süre içerisindeaynı Log/veri toplanan herhangi bir kaynağa ait farklı olaydan meydana gelmezse şeklinde tanımlama yapılabilmelidir. Örnek: Bir sunucuya bir kullanıcı login olmayı deneyip başarısız olduktan sonra 2 saat içerisinde aynı kullanıcı aynı sunucuya başarılı bir şekilde logon olmadı ise uyar)
Senaryo Takibi yapabilmeli. Örnek: Bir kullanıcı bir sunucuya login olduktan sonra o sunucudan 2 saat içerisinde internete çıkış olmazsa
Bir sisteme ait belirli bir olay gerçekleşmezse alarm üretilebilmelidir. Örnek: 2 gün boyunca X kullanıcısı Y sunucusuna login olmazsa uyar
2. Korelasyon kuralı oluşumunda “eşittir,eşit değildir,içeriyorsa, içermiyorsa, büyüktür, küçüktür, başlıyorsa, bitiyorsa, boş ise, boş değil ise, say” gibi ifadeleee bağlı olarak kurallar tanımlanabilmelidir.
SIEM Kurallarındanda iki olay arasında tarih ilişkisi belirlenebiliyor mu? Örnek: Birinci olaydan sonra 1 saat içerisinde ikinci olay oldu ise uyar
SIEM Kurallarındanda İki veya daha fazla olaya rasında ilişki kurulabiliyor mu? Örnek: birinci oalyın kaynağı diğer olayın hedefine eşit ise vb..
Gerçek zamankı tespitler yapabiliyor mu? Örnek: Seçilen X makinesine Y kullanıcısı Z yazılımını kurduğu anda uyar
Threat Intelligence entegrasyonu var mı?
“Hot-list” veya comparison list mevcut mu?
Kural Geliştirme Editörü
Kural özellikleri bölümünde belirtilen kuralları bir görsel editör ile yazılabiliyor mu?
Üreticiye bağımlılık oranı nedir?
Özel bir SQL veya Script dili ya da benzeri notasyon öğrenmeye gerek var mı?
Kural Yazma Kolaylığı
Kuralları geliştirirken Kullanıcıya güvenlik analiz keywordleri veya sistem management keywordleri vb.. Yardımlar sunuyor mu?
Kural Kütüphanesi
Hazır kurallar var mı?
Kurallar IDS/IPS, WEB Server Security, Network Monitoring, Cisco vb.. Network Cihazları, User Management, Group Management, Machine Management, Authentication, Windows Firewall, Authorization, Audit Policy, Software Management, Access Violation, File Management, Risk Management, Password Management ,Service Management, Performance Monitoring, File Replication, Windows File Protection, Printer, System Uptime, NTDS Defragmentation, Network, Hardware Errors vb.. geniş bir yelpazede çeşitleniyor mu?
Alarm Yönetimi
E-mail veya SMS Desteği var mı?
Script veya exe çalıştırma desteği var mı?
IP blokla, process kill vs.. gibi aksiyonlar alınabiliyor mu?
SNMP veya API desteği var mı?
Aksiyonlara senaryo ve logların durumları ve değerleri aktarılabiliyor mu?
Workflow management özelliği mevcut mu?
Performans
Sistem 100 adet korelasyon kuralını işletirken 5000 EPS ortalma ve 10 000 EPS tepe değerleri için 24 GB RAM, 500 GB SSD Disk ve 24 core işlemci yeterli mi? Log kaçırmadan kesintisiz 7X24X365 çalışabilir mi?
8 GB RAM, 500 GB SSD Disk ve 2,3 GHz 8 core işlemci ile gerçek zamanlı alınan 1000 0000 0000 (Bir milyar ) satır log/veri için belirli bir tarih aralığı arasında aynı anda farklı tarih aralıkları için log/veri satırı içerisinde tanımlanmış olan kolonlardan istenilen en az iki kolon parametresine göre 10 adet paralel sorgu cevabı süresi ne kadar?
3. Raporlama&Analiz
Drill down özelliği var mı?
BI tooları ile entegre olabiliyor mu?
Data Workflow entegrasyonu var mı?
Yeni rapor tasarımı kolay mı?
İstatistiksel, görsel, Statistical, matematiksel analiz imkanı var mı?
Raporlar ve filtreler ne kadar esnek?
Logların ham hallerine ulaşmak mümkün mü?
Rporlarda analizler de yapılabiliyor mu? Örnek: Toplam oluşturduğu trafiği MB olarakToplam gönderdiği trafiği MB olarakToplam aldığı trafiği MB olarakve % olarak oranları gib.
Trend Analizi raporları mevcut mu? Örnek: Gününün hangi saatlerinde daha çok VPN yapılıyor?
Son 1 ay içerisinde en çok trafik oluşturan kullanıcılar, bu kullanıcıların toplamda ne kadar trafik ürettiği, Bu üretilen trafiğin ne kadarı upload, ne kadarı download için kullanılmış, Toplam trafiğin % kaçını oluşturmuş ve bu trafiği oluştururken hangi protokolleri kullanmış gibi verileri içeren analiz raporu üretebiliyor mu?
CSV, PDF, HTML formatlarını desteklior mu?
Company logo, Header, Footer değiştirilebilir mi?
Storage
Üzerinden arama tarama yapılan aktif veriyi sıkıştırma oranı nedir?
5651 için imzalanan verinin sıkıştırma oranı nedir?
Uzak makinade (SAN veya NAS) veri saklama alternatifleri sunuyor mu? (Sadece 5651 için değil bütün sistem için)
3. parti araçlarla entegre olarak verilre ulaşılabiliyor mu?
Arayüz
WEB temelli bir arayüzü var mı?
Anlaşılması kolay mı?
Arayüz performansı
Arayüz için ayrıca bir yazılım kurulumuna ihtiyaç var mı?
Compliance
Raporlarda Linux ve Aktif network Cihazları (Cisco vb..) yer alıyor mu? Yoksa sadece Windows loglarına göre mi bu raporlar oluşuyor
ISO 27001, SOX, HIPAA, PCI, GLBA destekliyor mu?
Diğer
BIG DATA
HADOOP desteği var mı?
Big Data altyapısı kullanıyor mu?
4. Görevler Ayrılığı İlkesi
Yetki seviyesine göre görüntüleme desteği var mı?
Kullanıcılar yatkilendirilebiliyor mu?
LDAP ve AD OU ya göre yetkilendirme yapılabiliyor mu?
Incident Management
Bir incident management modülü var mı?
Firma
Üretici firma kaç yıldır piyasada?
Firmanın Ar-GE ve akademik çalışma ve yayınları var mı?
Firamanın ürünü kendi özgün ürünü mü? Yoksa Açık kaynak kod veya başak bir üründen mi türetililmiş?
SIEM ile ilgili yatırım yapmaya devam ediyor mu?
Şirketin SIEM ve Log Yönetimi ana konusu mu?
En azından 20 Enterprise referans firma sayabiliyor mu?
Çözüm ortakları ve birlikte çalıştıkları firmalar (partnerlar) sektörde bilinen firmalar mı?
Destek
Kendi destek ekibi var mı? Yoksa ekip outsource mu?
Şirketin destek talebine cevap verme süresi
Kendi kodunu geliştirmek için API desteği mevcut mu?
Destek yöntemleri? E-mail, Telefon, Uzak Bağlantı, Yerinde destek vb..
Kurulum
Kurulum için bir setup dosyası mevcut mu?
Desteklediği sistemler neler? Windows 2012, Centos vb..
Kurulum ve ayarları üretici firma olmadan dokümanlara bakaılarak yapılabilir mi?
Kurulum ve konfigurasyon süresi ne kadar?
Lisanslama
Ayrica bir Veritabanı lisansı gerektiriyor mu?
Lisanslama modeli nedir? EPS veya Log Kaynağı sayısı
Fiyat
Fiyatı nedir?
Referanslar
https://www.owasp.org/index.php/Logging_Cheat_Sheet
http://infosecnirvana.com/wp-content/uploads/2014/05/SIEMEvaluationChecklist.pdf