SIEM ve Log Miktarı Performansı veya EPS

SIEM performansının en önemli ölçütü sorunsuz ve stabil çalışabildiği EPS değerleridir. EPS limitleri sadece lisansı ilgilendiren bir konu değildir. EPS limitleri çok daha ciddi bir konudur. Mesela max 2500 EPS limitiniz var ve sisteminizi kurdunuz. Normal şartlarda 2000 EPS civarında log trafiği oluyor. Bir saldırı oldu ve trafiğiniz 5000 EPS oldu ama EPS limitiniz 2500 EPS. Ne olacak ? 2500 EPS üzeri log kaçırır. Veya Sistemi kurdunuz ve oluşan trafik SIEM in desteklediğinin üzerinde geliyor, dolayısı ile aslında log kaçırıyorsunuz. Bunu nasıl anlayacağız?

Çoğunlukla son kullanıcı aradığı logu bulamayana kadar sistemin log kaçırdığını anlayamaz.

EPS limitleri o kadar kritiktir ki üreticiler EPS değerleri ile sistem isterleri tabloları yayınlarlar.

Aşağıda bazı üreticilerin verdiği değerler mevcut.

Arcsight

McAfee

Eğer linke bakarsanız yukarıdaki listede de bazı uyarılar olduğunu görebilirsiniz. Bu uyarılar ile ilgili bir linkedin postu [3]. Bu posta McAfee çözüm ortağından “1500 EPS destekliyor. Bunu geçerse kuyruğa alıp işliyor” diye bilgi dönmüş. Ben de kuyrukta nasıl bekliyor ve işliyor
diye sordum buna daha cevap gelmedi.

AlienVault

SureLog

Benzer şekilde EPS in kritikliğinin farkında olan bütün üreticilerin benzer tabloları mevcuttur.

Ürünün EPS kapasitesi yeterli değil ise log kaçırmakla başlayıp, sistemin log bulma, rapor ve benzeri pek çok fonksiyonları beklenen işlevleri göremez.

EPS aşımlarında loglar kuyrukta bekliyor ve sonra işliyor yöntemi çok kısa süreli EPS limitlerinin aşımı durumunda geçerlidir. Eğer kuyruğu alma ve kuyruktaki logları işleme ile ilgili özel bir teknolojisi yoksa devamlı üst limitleri aşan bir sistemde kuyruk yeterli olmayıp sistem log kaçıracaktır. Dolayısı ile kuyrukta kaç EPS, kaç adet log için ne kadar RAM kullanarak ne kadar süre bekleyebilir? Sorularının cevabını almak çok kritikdir.

Bazı sistemler ölçümlemeyi EPS değil de log miktarıdır. Splunk [6] gibi bazı ürünler günlük işledikleri log miktarına göre sistem gereksinimleri belirlerler.

Ortalama 1000 EPS log trafiği günde 40 GB yapar. Dolayısı ile log miktarından EPS e veya EPS den log miktarına geçiş yapılabilir.

Yukarıdaki gibi isterler tablosu yayınlamayan üreticilerden de uzak durulmasında fayda vardır.

Referanslar

1. https://community.microfocus.com/t5/ArcSight-User-Discussions/ArcSight-VM-ESM-System-requirement/td-p/2687370
2. https://community.mcafee.com/t5/Security-Information-and-Event/Mcafee-SIEM/td-p/617728
3. https://www.linkedin.com/feed/update/urn:li:activity:6624289711353536512/
4. https://cdn5.alienvault.com/docs/data-sheets/usm-appliance.pdf
5. http://www.anetusa.net/downloads/SureLog%20User%20GUIDE_v9.pdf
6. https://docs.splunk.com/Documentation/Splunk/8.0.1/Capacity/Referencehardware