SureLog ile Diğer SIEM Çözümleri Arasındaki Farklar

SIEM çözümlerini pek çok açıdan değerlendirmek mümkündür [1]. SIEM açısından en önemli parametre korelasyondur [2]. Bununla birlikte SureLog çözümünü tasarlarken dikkate aldığımız ve SIEM projelerinde yaşandığını bildiğimiz 3 temel probleme de çözüm getirdik. Bu problemlerden ilki canlıda log tutma süresinin kısalığıdır.

Canlıda Log Tutma Süresi:

Dünyada saldırıların ortalama tespit süresi 6 ay civarıdır. Dolayısı ile canlıda logları tutma ve arama&analiz süresinin 6 ay civarında olması tespit için fonksiyonel olacaktır.

SIEM ve Log Yönetimi için canlıda arama yapabilme süresi ve bunun için ihtiyaç duyulan disk boyutu çok çok kritiktir. Bu disk boyutu meselesini çözmek için bazı logları alamayalım çözümü doğru değildir. SANS [3] bu logların ileride veya korelasyonda işe yarayıp yaramayacağınızı bilemeyeceğiniz için bütün logları alın diyor.

SIEM çözümlerinin kullandığı teknolojilere göre canlıda log tutmak için ihtiyaç duydukları disk miktarı çok değişir.

SureLog bu konuda rakipsizdir. SureLog SIEM ile 8000–10000 EPS ortalama maksimum da 15000 EPS logu 15 TB disk ile yaklaşık 1 yıl canlıda tutabilirsiniz.

Canlıda bu kadar uzun süre tutmanın faydası nedir?

1-Savcılık son 1 yıl içeren bir bilgi istediğinde

2-Denetimlerde son 1 yıl içinden kontroller yapıldığında

3-Güvenlik analizleriniz için son 6 ile ondan önceki 6 ay arasındaki trendleri karşılaştırmak istediğinizde çok hızlı ve çok kolay yapabilirsiniz.

SIEM projelerindeki diğer problem log kaçırma problemidir.

Log Kaçırma:

Log kaçırma kritik bir problemdir. Ne kadar log kaçtığı, kaçan logların önemi, lazım olduğunda bulunamaması gibi parametrelere bağlı olarak bir sürü kritik probleme yol açar. Çeşitli ürünlerin çeşitli sebeplerden dolayı kronikleşmiş log kaçırma durumları vardır. SureLog ile ortalama 5000 EPS maksimum 10 000 EPS ve 100 adet ileri seviye korelasyon kuralı çalışırken 36 core (3.0 GhZ) ve 96 GB RAM bir sistemde log kaçırmayacağı garanti edilmektedir.

Ve son olarak da başta belirttiğimiz gibi en önemli özellik ve SIEM için olmazsa olmaz olan korelasyon özelliğidir.

Korelasyon:

SureLog un en kuvvetli olduğu özelliği korelasyon yeteneğidir. Dünyadaki en kuvvetli korelasyon motorlarından birine sahiptir (Bu konuda dünyadaki en iyi 2–3 üründen biridir). SureLog SIEM korelasyon özelliği ile ilgili [4,5] referanslı makalelerde detayları bulabilirsiniz.

SureLog

Referanslar

1. https://www.peerlyst.com/posts/how-to-select-the-right-siem-solution-ertugrul-akbas
2. https://www.peerlyst.com/posts/what-really-matters-when-selecting-a-siem-and-how-to-choose-a-siem-looking-into-the-correlation-ertugrul-akbas
3. https://cyber-defense.sans.org/blog/2018/10/24/your-siem-questions-answered
4. http://anet-canada.ca/2019/11/19/surelog-siem-has-most-valuable-siem-use-cases/
5. http://anet-canada.ca/2020/01/09/not-all-siem-solutions-are-equal-and-not-all-siem-use-cases-are-the-same/