SIEM İçin Canlıda Log Tutma ve Aramanın Önemi

Dünyada saldırıların ortalama tespit süresi 6 ay civarıdır. Dolayısı ile canlıda arama süresinin 6 ay civarında olması tespit için fonksiyonel olacaktır.

SIEM ve Log Yönetimi için canlıda arama yapabilme süresi ve bunun için ihtiyaç duyulan disk boyutu çok çok kritikdir. Bu disk boyutu meselesini çözmek için bazı logları alamayalım çözümü doğru değildir. SANS [1] bu logların ileride veya korelasyonda işe yarayıp yaramayacağınızı bilemeyeceğiniz için bütün logları alın diyor.

SIEM çözümlerinin kullandığı teknolojilere göre canlıda log tutmak için ihtiyaç duydukları disk miktarı çok değişir.

Aşağıdaki makalede ürünler ve kullandıkları teknolojiler ile ilgili detaylı bir çalışma bulabilirsiniz.

https://medium.com/@eakbas/surelog-qradar-arcsight-splunk-mcafee-logsign-cryptosim-alienvault-siem-389bd822b602

Referanslar

1. https://cyber-defense.sans.org/blog/2018/10/24/your-siem-questions-answered