SIEM Çözümlerinde Sıcak Log, Canlı Log Gerektiren Senaryo Örnekleri
Aşağıda arşiv ile çözülemeyecek ve canlı olarak logları tutmayı gerektiren senaryoları bulacaksınız. Bu senaryoların hepsi BDDK, EPDK, 5651, KVKK, ISO27001, PCI, savcılık ve benzeri denetimlerde son kullanıcının ihtiyacı olan veya doğrudan sorulan sorulardır. Aşağıdaki senaryoların hepsi yaşanmış, gerçek senaryolardır.
1. Logları 12,24,36 ay geriye dönerek SSD veya Flash disk bile kullanmadan dakikalar içerisinde erişebilir ve en önemlisi hukuksal bir durumda veya kritik ve acil durumlarda rakiplerin loga ulaşmak için 3–4 gün ve daha uzun süre harcayacağı bir durumda bunu saatlere indirebilirsiniz.
2. KVKK, BDDK, EPDK gibi denetimlerde işinizi inanılmaz kolaylaştırır ve zaman kazandırır. Çok önceki loglara erişmeniz gerekebilir. Böyle durumda logları canlıda uzun süre tutabilmek büyük avantaj sağlar. Özellikle denetimlerde son 1 sene içinde SA ın hangi databaselere login olduğu, hangi queryleri çalıştırdığı gibi sorular rutin denetim prosedürü olarak karşınıza çıkar. Bu raporları tek tık ile alırsınız. Müthiş kolaylık ve rahatlık.
3. Son 6 ayda en çok erişilen sitelerin listesi veya bir kullanıcının sın 6 ay içerisinde erişim yaptığı sitelerin listesi, Bir IP adresinin en çok girdiği 50 sitenin 3 aylık raporu, Bir siteye son 6 ayda en çok giren 10 IP adresinin raporu gibi uzun zaman aralıklı analiz ihtiyaçlarınızı karşılamanızı sağlar.
4. İllegal bir durumdan ötürü savcılık veya kanun sizden log istediğinde kuruma sadece bir Public IP listesi gelir ve tarih belirtmeksizin bu IP’lere trafik oluşturan kullanıcıların tespit edilmesi istenir. Tarih belirtilmediği için hangi tarihleri arşivlerden döneceğinizi soramazsınız.
5. Saldırıların tespit süresi dünyada ortalama 280 gündür. Sizin de güvenlik analizlerinizi 280 gün veya daha uzun bir süre için yapmanızı gerekebilir, bunu logları uzunca süre canlıda tutarak yapabilirsiniz.
6. Arşivden canlıya çekme sürecinin zaman ve enerji kaybını ve bunun tekrarlanmasından dolayı ortaya çıkacak iş kaybı ve bıkkınlığı önler. Özellikle arşivden dönülecek zaman aralığı 7 gün, 30 gün gibi günler mertebesinde ise bu süreç bıktırıcı olabilir.
7. Hem zaman, hem iş yükü hem de stresten kurtulabilirsiniz.
8. Logların her an elinizin altında ve ulaşılabilir olmasını sağlar.
9. Bilinen SIEM ler ile arşivden 6 ay önceki 20–30 günlük bir zaman dilimine geriye gidip log aramak ortalama 2–53gün sürer, bir harf yanlış yazılsa 2–3 gün çöp olur. Arşiv aramalarında tekrar çok pahalı bir operasyondur. Bunu ortadan kaldırır.
10. Sisteminizde gerçek manada güvenlik analizleri yapabilirsiniz. Logları 2–3 yıl anında erişilebilir (canlı) tutabilmek size ağınızın görünürlüğünü 6,14,30 günden 1000 güne kadar uzatır
a. · Login failed raporları aylara göre artmış mı?
b. · Son 1 sene içinde kullanıcı yetki değişikliği nelerdir?
c. · Her ay ne kadar portların tarandığı
d. · Bir ip son 6 ay için kaç kere ulaşmaya çalışmış
· Her ay hangi ülkelerden daha fazla istek ve tarama geliyor. Bu aylara göre karşılaştırmaları
11. Gerçek bir senaryo: Personel 2021 Temmuz ayında yönetime “Ortak Alan’da bazı dosyalar yok” diye talepte bulunmuş.
IT ekibi, SureLog SIEM kullanarak toplam 2 saat içerisinde bu personelin kendi bilgisayarından, kendi kullanıcısı ile 2021 Ocak ayında dosyaları kendisinin silmiş olduğunu ortaya çıkarmış ve gerekli raporları oluşturarak yönetime sunmuş. Yani 6 ay önce.
Bunu en az 6 ay canlıda tutmasalardı arşivden günlerce uğraşarak bile bulamayabilirlerdi!
12. Yine bir üniversiteden yaşanmış bir senaryo: Kullandıkları SIEM çözümünde ortalama 1000 EPS trafik var. İstedikleri 2 IP nin son 1 yıl içerisindeki erişim listesi. Kullandıkları SIEM ile bu raporun hazır olma süresi 1 ay.
