Global SIEM Pazarında Şeffaf Rekabet ve SureLog SIEM

Türkiye’de ürünlerin sınırlarının veya limitlerinin açık açık söylenmesi tercih edilen bir yöntem olmasa da global pazarda üreticiler ürünlerinin üstün oldukları noktaları vurguladıkları gibi limitlerini de açık açık yazarlar. Bunu şeffaflıktan yaparlar, yapmasalar bu durumlar oluşursa çözmek zorunda kalacakları için yaparlar, demokratik ve rekabet kanunlarının uygulandığı toplumlarda kanunlar ve oluşan rekabet şartlarına uymak ve sadık kalmak için yaparlar ve sanırız kendilerine güvenden yaparlar. Bu hareketleri takdire şayan ve alkışlanacak bir harekettir. ANET Yazılım olarak biz de SureLog ürünümüzün avantaj ve dezavantajlarını benzer mantıkla yazmaktayız.

Bu tür şeffaf rekabet için üreticilerin dokümanlarına örnekler:

AlienVault:

AlienVault hem kaydettiği log miktarı hem de EPS sınırları ile ilgili bilgileri aşağıdaki gibi paylaşmıştır [1]. İlgili referans dokümanda ve aşağıdaki resimde belirtilen ürün gamının hem log toplama hem de korelasyon üst limitinin 1000 EPS olduğu açıkça ve şeffaf olarak belirtilmiştir.

AlienVault EPS Limits

Aynı ürün gamının log kayıt miktarı ile ilgili 200 milyon kayıt sınırı ile ilgili de aynı dokümanda ve yukarıdaki resimde “Max events in database (millions)” olarak belirtilmiş.

Ayrıca korelasyon tarafında da AlienVault aşağıdaki bilgileri paylaşmaktadır. [2].

Üretici kullanıcı kılavuzunda [3] ayrıca aşağıdaki gibi bir bilgi paylaşımında bulunmuştur.

“ Cross-Correlation can only run on (just) IPS and Vulnerability Scanner logs and the combining on just IP addresses.”

Splunk:

Splunk logları dosyalarda tutmakta ve indexler kullanmaktadır [4]. Indexlenmeyen log üzerinde arama yapılamaz. Ayrıca MongoDB yazılımın çalışması için gerekli ayarlar için kullanılmaktadır. Index boyutları çok büyüyebilmekte ve çok büyük disk ihtiyacı ortaya çıkmaktadır [5].

Ayrıca splunk alarm tarafında da eğer gerçek zamanlı alarmlar istiyorsanız her bir gerçek zamanlı alarm için 1 CPU core u başka bir iş için kullanmadan ayırmanız gerektiğini yazmaktadır.

“Each realtime search unpreemptively locks 1 core on EVERY INDEXER and on your Search Head” [6].

Yine kendi web sayfasında real time kullanım ile ilgili aşağıdaki yorumları kolaylıkla bulabilirsiniz.

Splunk is not a real time product [7,8]

McAfee:

McAfee hem kaydettiği log miktarı ile ilgili bilgileri aşağıdaki gibi paylaşmıştır [9].

Logların yönetimi için Enterprise Log Manager kullanır. McAfee disk kullanımı azaltmak için indexlediği alanların sayısını kısıtlar [9]. Indexlenen alanların kısıtlanması o alanların (sessionid, src/dst mac, src/dst port, src/dst zone, src/dst geolocation) sorgulanamaması anlamına gelir.

Ayrıca desteklediği EPS değerleri ile ilgili de aşağıdaki bilgileri paylaşmıştır.

VM olarak kurulan ürünler için maksimum log toplama 5000 EPS ve maksimum sorgu EPS i 1500 (Maximum Query Events Per second) diyor. Ayrıca log toplamda da 5000 EPS i yakalamak için hiçbir özelleştirme yapmadan out-of-box ayarları kullanmalısınız diyor [10].

Solarwinds SIEM:

Solarwinds SIEM çıkabileceği maksimim EPS değerlerini aşağıdaki gibi paylaşmıştır.

Solarwinds SIEM Max EPS

Ayrıca Solarwinds SIEM EPS değerleri için gerekli olan sistem kaynaklarını biraz yüksek olmasına rağmen yine şeffaflıkla paylaşmıştır.

Solarwinds LEM Requirements

SureLog:

SureLog olarak da pek çok teknik veri paylaşılıyor [11]. SureLog disk kullanımı [12], EPS değerleri [13]ve sistem isterleri ile ilgili çokça doküman paylaşmaktadır.

Ürün ve üreticilerin şeffaf bir şekilde avantaj ve limitlerini paylaşmaları gerektiğini düşünüyoruz. Böylece son kullanıcı ihtiyacı olan çözümü daha kolay tespit edebilir.

Global pazarda ve global ürünlerde bu rekabet şeffaf ve bolca dokümanla devam eder çünkü rekabet bunu gerektirmektedir. Ayrıca uyarmadığı veya bilgilendirmediği bir durum karşısında demokratik ve rekabetin şeffaf olduğu yerlerde sorumlu olacaktır.

Referanslar

1. https://cdn5.alienvault.com/docs/data-sheets/usm-appliance.pdf
2. https://cybersecurity.att.com/documentation/usm-appliance/correlation/about-correlation-rules.htm
3. https://cybersecurity.att.com/documentation/resources/pdf/usm-appliance-user-guide.pdf
4. https://docs.splunk.com/Documentation/Splunk/6.6.0/Indexer/Howindexingworks
5. https://docs.splunk.com/Documentation/Splunk/8.0.0/Capacity/Estimateyourstoragerequirements
6. https://answers.splunk.com/answers/433872/why-are-real-time-searches-not-running-and-getting.htm
7. https://answers.splunk.com/answers/671819/real-time-alert-1.html
8. https://docs.splunk.com/Documentation/Splunk/7.3.2/Search/Realtimeperformanceandlimitations
9. https://docs.mcafee.com/bundle/enterprise-security-manager-11.0.0-installation-guide-unmanaged/page/GUID-2F189D5A-AC92-4965-80A4-03EE2272F37C.html
10. https://community.mcafee.com/t5/Security-Information-and-Event/Mcafee-SIEM/td-p/617728
11. http://www.anetusa.net/downloads/SureLog User GUIDE_v9.pdf
12. https://medium.com/@eakbas/surelog-disk-kullan%C4%B1m-avantajlar%C4%B1-5111335b8416
13. https://medium.com/@eakbas/surelog-siem-ve-performans-rakamlari-484d0194c302