Merhabalar Oncelikle ihtiyaci tam olarak belirlemenizi oneririm. Firmalara sorarasaniz herkesi urunu her isi yapiyor, birkac log yonetim/korelasyonu urununu (dikkat bu ikisi farkli seylerdir ve farkli urunleri adresler) denedim veya arastirdim benim urunum su konuda zayif diyen saticiya rastlamadim. Amaciniz sadece loglari merkezi bir yerde toplayip yilda 3-5 kere ihtiyac oldugunda rapor almaksa gercek zamanli korelasyon yapan bir urune ihtiyaciniz yok demektir log yonetimi urunu isinizi gorur. Big data yetenegi de olan bir log yonetim urunu bakmanizi tavsiye ederim ki daha once bahsedilen logsign gibi urunler hem yerli firma tarafindan gelistiriliyor olmasi, hem makul fiyatli olmasi hem de hadoop destegi olmasi acisindan incelenebilir. Splunk onermem yetenekli olmasina ragmen fiyat gereksizce yuksek olabiliyor. Arcsight'in logger urunu de var orta segmenttedir index ihtiyaci ve saklanacak loglarin suresi/buyuklugunu dusunmenizi oneririm. Bu urunler ciddi anlamda gercek zamanli korelasyon yapmazlar ya da kisitli yaparlar.
Gercek zamanli kurallar yazayim, istemedigim karmasik bir durum oldugunda bana alarm uretsin derseniz one cikan birkac urun var ki onlardan da bahsedildi. Arcsight veya qradar gibi urunler. Arcsight sanirim 2009dan sonra 4-5 sene ust uste gartnerda en tepedeydi su anda da sanirim qradar onde ama bu hersey demek degil. Qradar'i one cikaran en onemli ozellik bence dogrudan netflow trafigini toplayabiliyor olmasi ve zaafiyet taramasi yapabilmesi ama arcsight da bilinen bircok netflow urunuyle veya zaafiyet tarayan urunle beraber calisabiliyor. Veya bizim yaptigimiz gibi direk network cihazlarinizdan snmp trap ile bu bilgiyi rahatca toplayabiliyor. Qradar'in bu yetenekleri IBM'in baska urunlerini Qradar catisi altina almasiyla oldu diye biliyorum yani aslinda birbirine entegre farkli moduller bunlar. Diger taraftan arcsight sadece ve tamamen siem urunudur yani gercek zamanli korelasyonu sonuna kadar yapar, karmasik aksiyonlar alabilir, bircok isi otomize yapabilir. Hatta arcsight'i fraud (dolandiricilik) onleme sistemine bile donusturebilirsiniz. Log toplayan ajanlar acisindan bakarsak arcsight daha gucludur ajana her turlu taklayi attirabilirsiniz. Negatif tarafi karmasik olmasi (bence bu kadar yetenege bu karmasiklik az bile) ve fiyatinin yuksek olmasi diyebiliriz. Sent from Yahoo Mail on Android From:"Ilmiye Nur Ayyildiz" <[email protected]> Date:Fri, Oct 30, 2015 at 10:32 Subject:Re: [NetSec] Log Korelasyon Merhabalar; Herkese teşekkürler. İyi çalışmalar Kayseri den selamlar From: NetSec [mailto:[email protected]] On Behalf Of Suleyman PETEK Sent: Thursday, October 29, 2015 12:15 PM To: [email protected] Subject: Re: [NetSec] Log Korelasyon İlmiye selam, Arcsight, Splunk, Qradar ve Intel Security nin çözümlerini inceleyebilirsin ihtiyaçlarınız dahilinde, ama Alper beyin dediği gibi açık kaynak olanlar belki yeterli olabilir, Kayseri'ye selamlar From: Alper Basaran <[email protected]> To: "[email protected]" <[email protected]> Sent: Wednesday, October 28, 2015 4:56 PM Subject: Re: [NetSec] Log Korelasyon Sattığım bir ürün değil ama gördüğüm kadarıyla böyle bir projeye Arcsight dışında bir ürünle kalkışıldığında ya bit(e)miyor ya da sonuç beklenen gibi olmuyor. 3-5 cihazdan birkaç kalem log toplayıp bir şeyler yapacaksanız açık kaynak çözümler işinizi görür. Daha genel bir çalışma yapacaksanız güvenilir bir partner (bkz. Daha önce bir kaç proje yapmış) ve Arcsight kazanan formül olacaktır. Saygılarımla, Alper Başaran On Tuesday, October 27, 2015, Ilmiye Nur Ayyildiz <[email protected]> wrote: Merhabalar; Log Korelasyon ile ilgili bir proje yapacağım. Tavsiye eedeceğiniz uygulamalar ve konu ile ilgili araştırmalar varsa iletebilirseniz sevinirim. İyi çalışmalar ILMIYE NUR AYYILDIZ Bilgi Teknolojileri Sorumlusu Bilgi Teknolojileri Mudurlugu Tel :+90 352 207 20 11 Fax:+90 352 207 20 05  Kayserigaz Sorumluluk Reddi (Disclaimer) ------------------- Bilişim Sistemleri Adli Analizi Eğitimi İstanbul 02-06 Kasım 2015 [email protected] | www.bga.com.tr ------------------- ------------------- Bilişim Sistemleri Adli Analizi Eğitimi İstanbul 02-06 Kasım 2015 [email protected] | www.bga.com.tr -------------------
------------------- Bilişim Sistemleri Adli Analizi Eğitimi İstanbul 02-06 Kasım 2015 [email protected] | www.bga.com.tr -------------------
