Günümüzde organizasyonlarda farklı cihazlardan fazla sayıda ve farklı türde log üretilir. Bir kurumun sadece bir branch’inde bile router,firewall,IDS,IPS,vs. birçok cihazdan gelen yetkisiz erişim girişimlerini,network tehditlerini,vs. sürekli izlemek gerekir ve incelenmesi gereken çok fazla sayıda log bulunmaktadır. Gün içerisinde yapılan aktiviteler de ( firewall events, Anti-virus data, application logs, database access, file server access gibi) milyonlarca event/log üretir. Ve bazen de belirli bir kullanıcının ne zaman , ne yaptığını (forensic) bilmek gerekebilir. İşte bunun gibi nedenlerden dolayı organizasyonlar bir SIEM ürününe ihtiyaç duyarlar.
SIEM nedir?
SIEM ( Security Information and Event Management) ürünü, büyük bir network’teki çeşitli network cihazlarından bütün log data’larını toplar, tanımlar, güvenlik tehditlerini ve şüpheli davranışları raporlar. SIEM ürünü bunun dışında birçok network’ten ve cihazdan toplanan bütün log data’larının depolanmasını, arşivlenmesini ve ilişkilendirilmesini sağlayarak , uzun zaman alan adli soruşturmaları ( Forensic Investigation) kolaylaştırır (Sonuçlandırılabilmesini sağlar).
Peki bu toplanan milyarlarca log data’sına ne oluyor?