Korelasyon işi bir üründen ziyade oturup başında mesai harcanması gereken bir süreci ifade ediyor aslında. İşin LOG kısmı için doğru olsa da korelasyon konusunda X ürününü aldım koydum sorunum halloldu şeklinde gerçekleşmiyor genelde durum arkadaşların da dediği gibi. Her kurumun altyapısındaki ürünler, tuttuğu/tutması gereken yasal/güvenlik amaçlı log ihtiyaçları, karşı karşıya kaldığı olası saldırı vektörleri vs. farklı olduğundan korelasyon konusunda da işin ideali oturup işin başında mesai harcamakta (danışmanlık alarak harcatmakta) yatıyor. 50 kişilik bir şirketin SIEM için Gartner'ın sağ üstüne göz dikmesi vs. da genelde ölü yatırım oluyor benim gördüğüm.
Bir de nacizane tavsiyem, sonradan SIEM'e devşirilmiş LOG ürünleriyle yapmaya çalışmayın korelasyon işini yine tecrübelerimden hareketle bunu söyleyebilirim. Günün sonunda kuralları yazdığınızda başarım ölçümünüz için KPI benzeri bir çalışma da yapabilirsiniz. Misal korelasyon kurallarınızla tünelleme faaliyetlerini yakayalabiliyor musunuz, pass-the-hass attack'ları domainizde fark edebiliyor musunuz vs vs gibi. X bin dolar yatırımdan sonra basit saldırıları bile yakalayamıyorsanız korelasyon değil sadece loglama işini yapıyorsunuz demektir :) 30 Ekim 2015 15:47 tarihinde Kayra Otaner <[email protected]> yazdı: > Selamlar, > > Gartner raporunda 2 senedir vizyoner ceyreginde yer alan acik kaynakli > AlienVault'a da goz atmanizi oneririm. Acik kaynak hali OSSIM olarak > biliniyor, SIEM ve log korelasyonuna ilave uzerinde 5651 destegi, uzerinde > zaafiyet taramasi, network ve host IDS ozellikleri de gelliyor. > > https://www.alienvault.com > https://www.alienvault.com/products/ossim > > Iyi calismalar > > > 2015-10-30 13:45 GMT+02:00 Mustafa Arslan <[email protected]>: > >> Crypttech firmasının çözümünü araştırabilirsiniz. >> >> http://www.crypttech.com >> >> >> >> Saygılarımla, >> >> >> >> [image: Pressan Logo_Golgeli Tam Ad (2)] >> >> >> >> MUSTAFA ARSLAN >> >> Bilgi Güvenliği Yöneticisi >> >> *[email protected] <[email protected]>* >> >> >> >> Pressan Madeni Eşya San. Tic. A.Ş. >> >> Ataturk Mah. Hadımköy Yolu >> >> No:16 34510 Kıraç - Esenyurt - İSTANBUL >> >> Tel : 0212 886 55 57 >> >> Fax : 0212 886 52 99 >> >> *www.pressan.com <http://www.pressan.com/>* >> >> *www.pressan.com.tr <http://www.pressan.com.tr/>* >> >> >> >> Bu e-posta icindeki bilgiler ve/veya mesajla iletilen butun dosyalar >> sadece gondericisi tarafindan almasi amaclanan yetkili kisinin kullanimi >> icindir ve gizlilik icerebilir. Eger bu e-posta size yanlislikla ulasmissa, >> icerigini hicbir sekilde kullanmayiniz. Bu durumda lutfen ilgili e-postayi >> mesaj kutunuzdan siliniz ve gonderen kisiyi uyariniz. >> >> >> >> The information in this message and/or attachments is intended solely for >> the attention and use of the named addressee and may be confidential. If >> you are not the intended recipient, you are hereby notified that you have >> received this transmittal in error and that any use of it is strictly >> prohibited. In such a case please delete this message and kindly notify the >> sender accordingly. >> >> >> >> >> >> >> >> *From:* NetSec [mailto:[email protected]] *On Behalf Of *Ilmiye >> Nur Ayyildiz >> *Sent:* Tuesday, October 27, 2015 11:28 AM >> *To:* [email protected] >> *Subject:* [NetSec] Log Korelasyon >> >> >> >> Merhabalar; >> >> Log Korelasyon ile ilgili bir proje yapacağım. Tavsiye eedeceğiniz >> uygulamalar ve konu ile ilgili araştırmalar varsa iletebilirseniz sevinirim. >> >> İyi çalışmalar >> >> >> >> >> >> >> >> *ILMIYE NUR AYYILDIZ* >> Bilgi Teknolojileri Sorumlusu >> Bilgi Teknolojileri Mudurlugu >> Tel :+90 352 207 20 11 >> >> Fax:+90 352 207 20 05 >> >> >> >> Kayserigaz Sorumluluk Reddi (Disclaimer) >> <http://www.kayserigaz.com.tr/sorumluluk-reddi_3_771> >> >> ------------------- >> Bilişim Sistemleri Adli Analizi Eğitimi İstanbul >> >> 02-06 Kasım 2015 >> >> [email protected] | www.bga.com.tr >> >> ------------------- >> > > > > -- > Kayra Otaner > BilgiO A.S. - SecOps Experts > | Manager, Enterprise Linux Solutions > www.bilgio.com | TR +90 (532) 111-7240 x 1001 | US +1 (201) 206-2592 > > ------------------- > Bilişim Sistemleri Adli Analizi Eğitimi İstanbul > > 02-06 Kasım 2015 > > [email protected] | www.bga.com.tr > > ------------------- > -- *Furkan ÇALIŞKAN Researcher @ TÜBİTAK
------------------- Bilişim Sistemleri Adli Analizi Eğitimi İstanbul 02-06 Kasım 2015 [email protected] | www.bga.com.tr -------------------
