Log Yönetimi ve SIEM çözümlerinin çeşitli başlıklar altında özelliklerinin analizini en anlaşılır ve ölçülebilir şekild eyaılmasını sağlayan bir kontrol listesidir. SIEM, Korelasyon, Log Yönetimi 5651, Kontrol Listesi, CheckList, Correlation, Log Arama, Log Search, Güvenlik Yönetimi, ISO 2701, PCI, Uyumluluk Raporları, Windows Logları, Windows Event ID gibi konularda ölçüm içerir.
Log Yönetimi ve SIEM çözümlerinin çeşitli başlıklar altında özelliklerinin analizini en anlaşılır ve ölçülebilir şekild eyaılmasını sağlayan bir kontrol listesidir. SIEM, Korelasyon, Log Yönetimi 5651, Kontrol Listesi, CheckList, Correlation, Log Arama, Log Search, Güvenlik Yönetimi, ISO 2701, PCI, Uyumluluk Raporları, Windows Logları, Windows Event ID gibi konularda ölçüm içerir.
Log Yönetimi ve SIEM çözümlerinin çeşitli başlıklar altında özelliklerinin analizini en anlaşılır ve ölçülebilir şekild eyaılmasını sağlayan bir kontrol listesidir. SIEM, Korelasyon, Log Yönetimi 5651, Kontrol Listesi, CheckList, Correlation, Log Arama, Log Search, Güvenlik Yönetimi, ISO 2701, PCI, Uyumluluk Raporları, Windows Logları, Windows Event ID gibi konularda ölçüm içerir.
WMI SYSLOG UDP SYSLOG TCP SNMP SNMP TRAP Shared Directory Ajanl/Ajansz JDBC/ODBC SSH OPSEC(Open Platform for Security) API Log Parsing&Normalization Hangi sistemlerle entegre? rnek: Cisco, Windows, VmWare,Linux,Fortinate vb.. Time difference adjustment zellii var m? Mimari Sistem datk mimariyi destekliyor mu? rnein Storage server ayr, WEB Server ayr ve Engine ayr ayr sunuculara kurulabiliyor mu? Replikasyon imkan var m? htiya olduka mimari genileyebilir mi? Korelasyon Motoru Genel zellikler Korelasyon Motoru Hafzada (inMemory) alabiliyor mu? Yoksa sadece veritaban zerinde mi alyor Kullanlan veritaban (SQL veya NoSQL) servisi stop edilse bile korelasyon kurallar alabilir mi? Korelasyon kurallar real time alabiliyor mu? Yoksa sadece belli periyotlarla m kurallar (alarmlar) run ediyor Kural zellikleri Log/veri toplanan herhangi bir kaynaa ait bir olay gerekletikten sonra belirli bir sre ierisinde ayn Log/veri toplanan herhangi bir kaynaa ait farkl olaydan meydana gelmezse eklinde tanmlama yaplabilmelidir. rnek: Bir sunucuya bir kullanc login olmay deneyip baarsz olduktan sonra 2 saat ierisinde ayn kullanc ayn sunucuya baarl bir ekilde logon olmad ise uyar) Senaryo Takibi yapabilmeli. rnek: Bir kullanc bir sunucuya login olduktan sonra o sunucudan 2 saat ierisinde internete k olmazsa Bir sisteme ait belirli bir olay gereklemezse alarm retilebilmelidir. rnek: 2 gn boyunca X kullancs Y sunucusuna login olmazsa uyar Korelasyon kural oluumunda eittir,eit deildir,ieriyorsa, iermiyorsa, byktr, kktr, balyorsa, bitiyorsa, bo ise, bo deil ise, say gibi ifadeleee bal olarak kurallar tanmlanabilmelidir. SIEM Kurallarndanda iki olay arasnda tarih ilikisi belirlenebiliyor mu? rnek: Birinci olaydan sonra 1 saat ierisinde ikinci olay oldu ise uyar SIEM Kurallarndanda ki veya daha fazla olaya rasnda iliki kurulabiliyor mu? rnek: birinci oalyn kayna dier olayn hedefine eit ise vb.. Gerek zamank tespitler yapabiliyor mu? rnek: Seilen X makinesine Y kullancs Z yazlmn kurduu anda uyar Threat Intelligence entegrasyonu var m? Hot-list veya comparison list mevcut mu? Kural Gelitirme Editr Kural zellikleri blmnde belirtilen kurallar bir grsel editr ile yazlabiliyor mu? reticiye bamllk oran nedir? zel bir SQL veya Script dili ya da benzeri notasyon renmeye gerek var m? Kural Yazma Kolayl Kurallar gelitirirken Kullancya gvenlik analiz keywordleri veya sistem management keywordleri vb.. Yardmlar sunuyor mu? Kural Ktphanesi Hazr kurallar var m? Kurallar IDS/IPS, WEB Server Security, Network Monitoring, Cisco vb.. Network Cihazlar, User Management, Group Management, Machine Management, Authentication, Windows Firewall, Authorization, Audit Policy, Software Management, Access Violation, File Management, Risk Management, Password Management ,Service Management, Performance Monitoring, File Replication, Windows File Protection, Printer, System Uptime, NTDS Defragmentation, Network, Hardware Errors vb.. geni bir yelpazede eitleniyor mu? Alarm Ynetimi E-mail veya SMS Destei var m? Script veya exe altrma destei var m? IP blokla, process kill vs.. gibi aksiyonlar alnabiliyor mu? SNMP veya API destei var m? Aksiyonlara senaryo ve loglarn durumlar ve deerleri aktarlabiliyor mu? Workflow management zellii mevcut mu? Performans Sistem 100 adet korelasyon kuraln iletirken 5000 EPS ortalma ve 10 000 EPS tepe deerleri iin 24 GB RAM, 500 GB SSD Disk ve 24 core ilemci yeterli mi? Log karmadan kesintisiz 7X24X365 alabilir mi? 8 GB RAM, 500 GB SSD Disk ve 2,3 GHz 8 core ilemci ile gerek zamanl alnan 1000 0000 0000 (Bir milyar ) satr log/veri iin belirli bir tarih aral arasnda ayn anda farkl tarih aralklar iin log/veri satr ierisinde tanmlanm olan kolonlardan istenilen en az iki kolon parametresine gre 10 adet paralel sorgu cevab sresi ne kadar? Raporlama&Analiz Drill down zellii var m? BI toolar ile entegre olabiliyor mu? Data Workflow entegrasyonu var m? Yeni rapor tasarm kolay m? statistiksel, grsel, Statistical, matematiksel analiz imkan var m? Raporlar ve filtreler ne kadar esnek? Loglarn ham hallerine ulamak mmkn m? Rporlarda analizler de yaplabiliyor mu? rnek: Toplam oluturduu trafii MB olarak Toplam gnderdii trafii MB olarak Toplam ald trafii MB olarak ve % olarak oranlar gib. Trend Analizi raporlar mevcut mu? rnek: Gnnn hangi saatlerinde daha ok VPN yaplyor? Son 1 ay ierisinde en ok trafik oluturan kullanclar, bu kullanclarn toplamda ne kadar trafik rettii, Bu retilen trafiin ne kadar upload, ne kadar download iin kullanlm, Toplam trafiin % kan oluturmu ve bu trafii olutururken hangi protokolleri kullanm gibi verileri ieren analiz raporu retebiliyor mu? CSV, PDF, HTML formatlarn desteklior mu? Company logo, Header, Footer deitirilebilir mi? Storage zerinden arama tarama yaplan aktif veriyi sktrma oran nedir? 5651 iin imzalanan verinin sktrma oran nedir? Uzak makinade (SAN veya NAS) veri saklama alternatifleri sunuyor mu? (Sadece 5651 iin deil btn sistem iin) 3. parti aralarla entegre olarak verilre ulalabiliyor mu? Arayz WEB temelli bir arayz var m? Anlalmas kolay m? Arayz performans Arayz iin ayrca bir yazlm kurulumuna ihtiya var m? Compliance Raporlarda Linux ve Aktif network Cihazlar (Cisco vb..) yer alyor mu? Yoksa sadece Windows loglarna gre mi bu raporlar oluuyor ISO 27001, SOX, HIPAA, PCI, GLBA destekliyor mu? Dier BIG DATA HADOOP destei var m? Big Data altyaps kullanyor mu? Grevler Ayrl lkesi Yetki seviyesine gre grntleme destei var m? Kullanclar yatkilendirilebiliyor mu? LDAP ve AD OU ya gre yetkilendirme yaplabiliyor mu? Incident Management Bir incident management modl var m? Firma retici firma ka yldr piyasada? Firmann Ar-GE ve akademik alma ve yaynlar var m? Firamann rn kendi zgn rn m? Yoksa Ak kaynak kod veya baak bir rnden mi tretililmi? SIEM ile ilgili yatrm yapmaya devam ediyor mu? irketin SIEM ve Log Ynetimi ana konusu mu? En azndan 20 Enterprise referans firma sayabiliyor mu? zm ortaklar ve birlikte altklar firmalar (partnerlar) sektrde bilinen firmalar m? Destek Kendi destek ekibi var m? Yoksa ekip outsource mu? irketin destek talebine cevap verme sresi Kendi kodunu gelitirmek iin API destei mevcut mu? Destek yntemleri? E-mail, Telefon, Uzak Balant, Yerinde destek vb.. Kurulum Kurulum iin bir setup dosyas mevcut mu? Destekledii sistemler neler? Windows 2012, Centos vb.. Kurulum ve ayarlar retici firma olmadan dokmanlara bakalarak yaplabilir mi? Kurulum ve konfigurasyon sresi ne kadar? Lisanslama Ayrica bir Veritaban lisans gerektiriyor mu? Lisanslama modeli nedir? EPS veya Log Kayna says Fiyat Fiyat nedir? Referanslar https://www.owasp.org/index.php/Logging_Cheat_Sheet http://infosecnirvana.com/wp-content/uploads/2014/05/SIEMEvaluationChecklist.pdf http://www.cisoplatform.com/profiles/blogs/siem-tools-implementation-guide-and-vendor-evaluation-checklist http://www.sans.org/reading-room/whitepapers/analyst/benchmarking-security-information-event-management-siem-34755 http://searchsecurity.techtarget.in/tip/6-point-SIEM-solution-evaluation-checklist http://www.gartner.com/document/2780017 http://infosecnirvana.com/2014/02/ Korelasyon kurallar real time alabiliyor mu? Yoksa sadece belli periyotlarla m kurallar (alarmlar) run ediyor