Bir Korelasyon
motorunun performansı kaç adet kuralı kaç EPS için desteklediğine bağlıdır. Eğer
ürünü gerçekten güvenlik amaçlı ve oluşan normal dışı durumları tespit ve takip
için kullanıyorsak, ortalama bir SIEM projesinde yüzlerce aktif kural olur.
Örnek olarak
Sentinel 6.1 ürününü 20 adet korelasyon kuralı için önerdiği fiziksel sunucu
özellikleri 2 core 3 Ghz CPU ve 4 GB RAM idi [1]. Bu sunucu ne log toplama ne de
normalizasyon işlemi yapmaktadır. Sadece log korelasyon işlemi yapmak üzere
kullanılan fiziksel bir sunucudur [1].
Son sürümünde üretici net 20 rakamı vermek yerine ihtiyaç duydukça yeni bir fiziksel
korelasyon sunucusu ekleyin demektedir. [2]
HP,IBM gibi
üreticiler de net bir rakam vermek yerine duruma göre fiziksel kaynak ekleyin
tarzı öneri ve uyarılarda bulunmaktadır.
Dolayısı ile
proje aşamasında ürünü konumlandıran ve bu değerlere karar veren ekiplerin bunu
çok doğru yapabilmesi gerekir. Aksi durumda son kullanıcı ne bu parametrelerin
doğru olmadığını ne de nasıl ölçeceğini bilemeyebilir. Sadece kritik yani
kendinin fark edebileceği bir senaryo oluşursa bir şeylerin ters gittiğini
anlayabilir.
Çalıştırılacak
korelasyon kuralı adedi ve EPS değerleri ile CPU, RAM, Disk hızı ve kaç adet
fiziksel veya sanal korelasyon sunucusu olacağı arasında bir ilişki vardır. [3]
Diğer önemli bir
unsur da kuralların karmaşıklığıdır. Bir kullanıcı başarısız oturum açarsa uyar
veya 5 dakika 15 tane paket bloklanırsa uyar tarzı basit kurallar ile son 1
aylık kullanıcı başına ortalama download oranlarının %40 üstünde download yapan
kullanıcıları bildir gibi karmaşık kurallar aynı CPU ve RAM kullanımına sahip
değillerdir.
Hiç yorum yok:
Yorum Gönder