Log Yonetimi ve SIEM Kontrol Listesi
-
Upload
ertugrul-akbas -
Category
Data & Analytics
-
view
376 -
download
7
description
Transcript of Log Yonetimi ve SIEM Kontrol Listesi
Log Yönetimi&SIEM Kontrol Listesi
Log Toplama Yöntemleri
WMI
SYSLOG UDP
SYSLOG TCP
SNMP
SNMP TRAP
Shared Directory
Ajanlı/Ajansız
JDBC/ODBC
SSH
OPSEC(Open Platform for Security)
API
Log Parsing&Normalization
Hangi sistemlerle entegre? Örnek: Cisco, Windows, VmWare,Linux,Fortinate vb..
Time difference adjustment özelliği var mı?
Mimari
Sistem dağıtık mimariyi destekliyor mu? Örneğin Storage server ayrı, WEB Server ayrı
ve Engine ayrı ayrı sunuculara kurulabiliyor mu?
Replikasyon imkanı var mı?
İhtiyaç oldıukça mimari genişleyebilir mi?
Korelasyon Motoru
Genel ÖzelliklerKorelasyon Motoru Hafızada (inMemory) çalışabiliyor mu? Yoksa sadece veritabanı üzerinde mi çalışıyor
Kullanılan veritabanı (SQL veya NoSQL) servisi stop edilse bile korelasyon kuralları çalışabilir mi?
Korelasyon kuralları real time çalışabiliyor mu? Yoksa sadece belli periyotlarla mı kurallar (alarmlar) run ediyor
Kural ÖzellikleriLog/veri toplanan herhangi bir kaynağa ait bir olay gerçekleştikten sonra belirli bir süre içerisinde
aynı Log/veri toplanan herhangi bir kaynağa ait farklı olaydan meydana gelmezse şeklinde tanımlama
yapılabilmelidir.
Örnek: Bir sunucuya bir kullanıcı login olmayı deneyip başarısız olduktan sonra 2 saat içerisinde
aynı kullanıcı aynı sunucuya başarılı bir şekilde logon olmadı ise uyar)
Senaryo Takibi yapabilmeli.
Örnek: Bir kullanıcı bir sunucuya login olduktan sonra o sunucudan 2 saat içerisinde internete çıkış olmazsa
Bir sisteme ait belirli bir olay gerçekleşmezse alarm üretilebilmelidir.
Örnek: 2 gün boyunca X kullanıcısı Y sunucusuna login olmazsa uyar
Korelasyon kuralı oluşumunda “eşittir,eşit değildir,içeriyorsa, içermiyorsa, büyüktür, küçüktür, başlıyorsa,
bitiyorsa,
boş ise, boş değil ise, say” gibi ifadeleee bağlı olarak kurallar tanımlanabilmelidir.
SIEM Kurallarındanda iki olay arasında tarih ilişkisi belirlenebiliyor mu?
Örnek: Birinci olaydan sonra 1 saat içerisinde ikinci olay oldu ise uyar
SIEM Kurallarındanda İki veya daha fazla olaya rasında ilişki kurulabiliyor mu?
Örnek: birinci oalyın kaynağı diğer olayın hedefine eşit ise vb..
Gerçek zamankı tespitler yapabiliyor mu?
Örnek: Seçilen X makinesine Y kullanıcısı Z yazılımını kurduğu anda uyar
Threat Intelligence entegrasyonu var mı?
“Hot-list” veya comparison list mevcut mu?
Kural Geliştirme EditörüKural özellikleri bölümünde belirtilen kuralları bir görsel editör ile yazılabiliyor mu?
Üreticiye bağımlılık oranı nedir?
Özel bir SQL veya Script dili ya da benzeri notasyon öğrenmeye gerek var mı?Kural Yazma Kolaylığı
Kuralları geliştirirken Kullanıcıya güvenlik analiz keywordleri veya
sistem management keywordleri vb.. Yardımlar sunuyor mu?
Kural KütüphanesiHazır kurallar var mı?
Kurallar IDS/IPS, WEB Server Security, Network Monitoring, Cisco vb.. Network Cihazları, User Management,
Group Management,
Machine Management, Authentication, Windows Firewall, Authorization, Audit Policy, Software
Management, Access Violation,
File Management, Risk Management, Password Management ,Service Management, Performance
Monitoring, File Replication,
Windows File Protection, Printer, System Uptime, NTDS Defragmentation, Network, Hardware Errors vb..
geniş bir yelpazede çeşitleniyor mu?
Alarm YönetimiE-mail veya SMS Desteği var mı?
Script veya exe çalıştırma desteği var mı?
IP blokla, process kill vs.. gibi aksiyonlar alınabiliyor mu?
SNMP veya API desteği var mı?
Aksiyonlara senaryo ve logların durumları ve değerleri aktarılabiliyor mu?
Workflow management özelliği mevcut mu?
Performans
Sistem 100 adet korelasyon kuralını işletirken 5000 EPS ortalma ve 10 000 EPS tepe değerleri için 24 GB RAM,
500 GB SSD Disk ve 24 core işlemci yeterli mi? Log kaçırmadan kesintisiz 7X24X365 çalışabilir mi?8 GB RAM, 500 GB SSD Disk ve 2,3 GHz 8 core işlemci ile gerçek zamanlı alınan 1000 0000 0000 (Bir milyar )
satır log/veri için belirli bir tarih aralığı arasında aynı anda farklı tarih aralıkları için log/veri satırı içerisinde
tanımlanmış olan kolonlardan istenilen en az iki kolon parametresine göre 10 adet paralel sorgu cevabı süresi
ne kadar?
Raporlama&Analiz
Drill down özelliği var mı?
BI tooları ile entegre olabiliyor mu?
Data Workflow entegrasyonu var mı?
Yeni rapor tasarımı kolay mı?
İstatistiksel, görsel, Statistical, matematiksel analiz imkanı var mı?
Raporlar ve filtreler ne kadar esnek?
Logların ham hallerine ulaşmak mümkün mü?
Rporlarda analizler de yapılabiliyor mu?
Örnek: Toplam oluşturduğu trafiği MB olarak
Toplam gönderdiği trafiği MB olarak
Toplam aldığı trafiği MB olarak
ve % olarak oranları gib.
Trend Analizi raporları mevcut mu? Örnek: Gününün hangi saatlerinde daha çok VPN yapılıyor?
Son 1 ay içerisinde en çok trafik oluşturan kullanıcılar, bu kullanıcıların toplamda ne kadar trafik ürettiği,
Bu üretilen trafiğin ne kadarı upload, ne kadarı download için kullanılmış, Toplam trafiğin % kaçını oluşturmuş
ve bu trafiği oluştururken hangi protokolleri kullanmış gibi verileri içeren analiz raporu üretebiliyor mu?
CSV, PDF, HTML formatlarını desteklior mu?
Company logo, Header, Footer değiştirilebilir mi?
Storage
Üzerinden arama tarama yapılan aktif veriyi sıkıştırma oranı nedir?
5651 için imzalanan verinin sıkıştırma oranı nedir?Uzak makinade (SAN veya NAS) veri saklama alternatifleri sunuyor mu?
(Sadece 5651 için değil bütün sistem için)
3. parti araçlarla entegre olarak verilre ulaşılabiliyor mu?
Arayüz
WEB temelli bir arayüzü var mı?
Anlaşılması kolay mı?
Arayüz performansı
Arayüz için ayrıca bir yazılım kurulumuna ihtiyaç var mı?
Compliance
Raporlarda Linux ve Aktif network Cihazları (Cisco vb..) yer alıyor mu?
Yoksa sadece Windows loglarına göre mi bu raporlar oluşuyor
ISO 27001, SOX, HIPAA, PCI, GLBA destekliyor mu?
Diğer
BIG DATA
HADOOP desteği var mı?
Big Data altyapısı kullanıyor mu?
Görevler Ayrılığı İlkesi
Yetki seviyesine göre görüntüleme desteği var mı?
Kullanıcılar yatkilendirilebiliyor mu?
LDAP ve AD OU ya göre yetkilendirme yapılabiliyor mu?
Incident ManagementBir incident management modülü var mı?
Firma
Üretici firma kaç yıldır piyasada?
Firmanın Ar-GE ve akademik çalışma ve yayınları var mı?
Firamanın ürünü kendi özgün ürünü mü? Yoksa Açık kaynak kod veya başak bir üründen mi türetililmiş?
SIEM ile ilgili yatırım yapmaya devam ediyor mu?
Şirketin SIEM ve Log Yönetimi ana konusu mu?
En azından 20 Enterprise referans firma sayabiliyor mu?
Çözüm ortakları ve birlikte çalıştıkları firmalar (partnerlar) sektörde bilinen firmalar mı?
Destek
Kendi destek ekibi var mı? Yoksa ekip outsource mu?
Şirketin destek talebine cevap verme süresi
Kendi kodunu geliştirmek için API desteği mevcut mu?
Destek yöntemleri? E-mail, Telefon, Uzak Bağlantı, Yerinde destek vb..
Kurulum
Kurulum için bir setup dosyası mevcut mu?
Desteklediği sistemler neler? Windows 2012, Centos vb..
Kurulum ve ayarları üretici firma olmadan dokümanlara bakaılarak yapılabilir mi?
Kurulum ve konfigurasyon süresi ne kadar?
LisanslamaAyrica bir Veritabanı lisansı gerektiriyor mu?
Lisanslama modeli nedir? EPS veya Log Kaynağı sayısı
Fiyat
Fiyatı nedir?
Referanslar
https://www.owasp.org/index.php/Logging_Cheat_Sheet
http://infosecnirvana.com/wp-content/uploads/2014/05/SIEMEvaluationChecklist.pdf
http://www.cisoplatform.com/profiles/blogs/siem-tools-implementation-guide-and-vendor-evaluation-checklist
http://www.sans.org/reading-room/whitepapers/analyst/benchmarking-security-information-event-management-siem-34755
http://searchsecurity.techtarget.in/tip/6-point-SIEM-solution-evaluation-checklist
http://www.gartner.com/document/2780017
http://infosecnirvana.com/2014/02/
Korelasyon kuralları real time çalışabiliyor mu? Yoksa sadece belli periyotlarla mı kurallar (alarmlar) run ediyor