Log Ynetimi&SIEM Kontrol Listesi

Log Toplama Yntemleri

WMI
SYSLOG UDP
SYSLOG TCP
SNMP
SNMP TRAP
Shared Directory
Ajanl/Ajansz
JDBC/ODBC
SSH
OPSEC(Open Platform for Security)
API
Log Parsing&Normalization
Hangi sistemlerle entegre? rnek: Cisco, Windows, VmWare,Linux,Fortinate vb..
Time difference adjustment zellii var m?
Mimari
Sistem datk mimariyi destekliyor mu? rnein Storage server ayr, WEB Server ayr
ve Engine ayr ayr sunuculara kurulabiliyor mu?
Replikasyon imkan var m?
htiya olduka mimari genileyebilir mi?
Korelasyon Motoru
Genel zellikler
Korelasyon Motoru Hafzada (inMemory) alabiliyor mu? Yoksa sadece veritaban zerinde mi alyor
Kullanlan veritaban (SQL veya NoSQL) servisi stop edilse bile korelasyon kurallar alabilir mi?
Korelasyon kurallar real time alabiliyor mu? Yoksa sadece belli periyotlarla m kurallar (alarmlar) run ediyor
Kural zellikleri
Log/veri toplanan herhangi bir kaynaa ait bir olay gerekletikten sonra belirli bir sre ierisinde
ayn Log/veri toplanan herhangi bir kaynaa ait farkl olaydan meydana gelmezse eklinde tanmlama
yaplabilmelidir.
rnek: Bir sunucuya bir kullanc login olmay deneyip baarsz olduktan sonra 2 saat ierisinde
ayn kullanc ayn sunucuya baarl bir ekilde logon olmad ise uyar)
Senaryo Takibi yapabilmeli.
rnek: Bir kullanc bir sunucuya login olduktan sonra o sunucudan 2 saat ierisinde internete k olmazsa
Bir sisteme ait belirli bir olay gereklemezse alarm retilebilmelidir.
rnek: 2 gn boyunca X kullancs Y sunucusuna login olmazsa uyar
Korelasyon kural oluumunda eittir,eit deildir,ieriyorsa, iermiyorsa, byktr, kktr, balyorsa,
bitiyorsa,
bo ise, bo deil ise, say gibi ifadeleee bal olarak kurallar tanmlanabilmelidir.
SIEM Kurallarndanda iki olay arasnda tarih ilikisi belirlenebiliyor mu?
rnek: Birinci olaydan sonra 1 saat ierisinde ikinci olay oldu ise uyar
SIEM Kurallarndanda ki veya daha fazla olaya rasnda iliki kurulabiliyor mu?
rnek: birinci oalyn kayna dier olayn hedefine eit ise vb..
Gerek zamank tespitler yapabiliyor mu?
rnek: Seilen X makinesine Y kullancs Z yazlmn kurduu anda uyar
Threat Intelligence entegrasyonu var m?
Hot-list veya comparison list mevcut mu?
Kural Gelitirme Editr
Kural zellikleri blmnde belirtilen kurallar bir grsel editr ile yazlabiliyor mu?
reticiye bamllk oran nedir?
zel bir SQL veya Script dili ya da benzeri notasyon renmeye gerek var m?
Kural Yazma Kolayl
Kurallar gelitirirken Kullancya gvenlik analiz keywordleri veya
sistem management keywordleri vb.. Yardmlar sunuyor mu?
Kural Ktphanesi
Hazr kurallar var m?
Kurallar IDS/IPS, WEB Server Security, Network Monitoring, Cisco vb.. Network Cihazlar, User Management,
Group Management,
Machine Management, Authentication, Windows Firewall, Authorization, Audit Policy, Software
Management, Access Violation,
File Management, Risk Management, Password Management ,Service Management, Performance
Monitoring, File Replication,
Windows File Protection, Printer, System Uptime, NTDS Defragmentation, Network, Hardware Errors vb..
geni bir yelpazede eitleniyor mu?
Alarm Ynetimi
E-mail veya SMS Destei var m?
Script veya exe altrma destei var m?
IP blokla, process kill vs.. gibi aksiyonlar alnabiliyor mu?
SNMP veya API destei var m?
Aksiyonlara senaryo ve loglarn durumlar ve deerleri aktarlabiliyor mu?
Workflow management zellii mevcut mu?
Performans
Sistem 100 adet korelasyon kuraln iletirken 5000 EPS ortalma ve 10 000 EPS tepe deerleri iin 24 GB RAM,
500 GB SSD Disk ve 24 core ilemci yeterli mi? Log karmadan kesintisiz 7X24X365 alabilir mi? 8 GB RAM, 500 GB SSD Disk ve 2,3 GHz 8 core ilemci ile gerek zamanl alnan 1000 0000 0000 (Bir milyar )
satr log/veri iin belirli bir tarih aral arasnda ayn anda farkl tarih aralklar iin log/veri satr ierisinde
tanmlanm olan kolonlardan istenilen en az iki kolon parametresine gre 10 adet paralel sorgu cevab sresi
ne kadar?
Raporlama&Analiz
Drill down zellii var m?
BI toolar ile entegre olabiliyor mu?
Data Workflow entegrasyonu var m?
Yeni rapor tasarm kolay m?
statistiksel, grsel, Statistical, matematiksel analiz imkan var m?
Raporlar ve filtreler ne kadar esnek?
Loglarn ham hallerine ulamak mmkn m?
Rporlarda analizler de yaplabiliyor mu?
rnek: Toplam oluturduu trafii MB olarak
Toplam gnderdii trafii MB olarak
Toplam ald trafii MB olarak
ve % olarak oranlar gib.
Trend Analizi raporlar mevcut mu? rnek: Gnnn hangi saatlerinde daha ok VPN yaplyor?
Son 1 ay ierisinde en ok trafik oluturan kullanclar, bu kullanclarn toplamda ne kadar trafik rettii,
Bu retilen trafiin ne kadar upload, ne kadar download iin kullanlm, Toplam trafiin % kan oluturmu
ve bu trafii olutururken hangi protokolleri kullanm gibi verileri ieren analiz raporu retebiliyor mu?
CSV, PDF, HTML formatlarn desteklior mu?
Company logo, Header, Footer deitirilebilir mi?
Storage
zerinden arama tarama yaplan aktif veriyi sktrma oran nedir?
5651 iin imzalanan verinin sktrma oran nedir?
Uzak makinade (SAN veya NAS) veri saklama alternatifleri sunuyor mu?
(Sadece 5651 iin deil btn sistem iin)
3. parti aralarla entegre olarak verilre ulalabiliyor mu?
Arayz
WEB temelli bir arayz var m?
Anlalmas kolay m?
Arayz performans
Arayz iin ayrca bir yazlm kurulumuna ihtiya var m?
Compliance
Raporlarda Linux ve Aktif network Cihazlar (Cisco vb..) yer alyor mu?
Yoksa sadece Windows loglarna gre mi bu raporlar oluuyor
ISO 27001, SOX, HIPAA, PCI, GLBA destekliyor mu?
Dier
BIG DATA
HADOOP destei var m?
Big Data altyaps kullanyor mu?
Grevler Ayrl lkesi
Yetki seviyesine gre grntleme destei var m?
Kullanclar yatkilendirilebiliyor mu?
LDAP ve AD OU ya gre yetkilendirme yaplabiliyor mu?
Incident Management
Bir incident management modl var m?
Firma
retici firma ka yldr piyasada?
Firmann Ar-GE ve akademik alma ve yaynlar var m?
Firamann rn kendi zgn rn m? Yoksa Ak kaynak kod veya baak bir rnden mi tretililmi?
SIEM ile ilgili yatrm yapmaya devam ediyor mu?
irketin SIEM ve Log Ynetimi ana konusu mu?
En azndan 20 Enterprise referans firma sayabiliyor mu?
zm ortaklar ve birlikte altklar firmalar (partnerlar) sektrde bilinen firmalar m?
Destek
Kendi destek ekibi var m? Yoksa ekip outsource mu?
irketin destek talebine cevap verme sresi
Kendi kodunu gelitirmek iin API destei mevcut mu?
Destek yntemleri? E-mail, Telefon, Uzak Balant, Yerinde destek vb..
Kurulum
Kurulum iin bir setup dosyas mevcut mu?
Destekledii sistemler neler? Windows 2012, Centos vb..
Kurulum ve ayarlar retici firma olmadan dokmanlara bakalarak yaplabilir mi?
Kurulum ve konfigurasyon sresi ne kadar?
Lisanslama
Ayrica bir Veritaban lisans gerektiriyor mu?
Lisanslama modeli nedir? EPS veya Log Kayna says
Fiyat
Fiyat nedir?
Referanslar
https://www.owasp.org/index.php/Logging_Cheat_Sheet
http://infosecnirvana.com/wp-content/uploads/2014/05/SIEMEvaluationChecklist.pdf
http://www.cisoplatform.com/profiles/blogs/siem-tools-implementation-guide-and-vendor-evaluation-checklist
http://www.sans.org/reading-room/whitepapers/analyst/benchmarking-security-information-event-management-siem-34755
http://searchsecurity.techtarget.in/tip/6-point-SIEM-solution-evaluation-checklist
http://www.gartner.com/document/2780017
http://infosecnirvana.com/2014/02/
Korelasyon kurallar real time alabiliyor mu? Yoksa sadece belli periyotlarla m kurallar (alarmlar) run ediyor