IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

HP ArcSight `a Genel Bakış

Günümüzde organizasyonlarda farklı cihazlardan fazla sayıda ve farklı türde log üretilir. Bir kurumun sadece bir branch’inde bile router,firewall,IDS,IPS,vs. birçok cihazdan gelen yetkisiz erişim girişimlerini,network tehditlerini,vs. sürekli izlemek gerekir ve incelenmesi gereken çok fazla sayıda log bulunmaktadır. Gün içerisinde yapılan aktiviteler de ( firewall events, Anti-virus data, application logs, database access, file server access gibi) milyonlarca event/log üretir. Ve bazen de belirli bir kullanıcının ne zaman , ne yaptığını (forensic) bilmek gerekebilir. İşte bunun gibi nedenlerden dolayı organizasyonlar bir SIEM ürününe ihtiyaç duyarlar.

SIEM nedir?

SIEM ( Security Information and Event Management) ürünü, büyük bir network’teki çeşitli network cihazlarından bütün log data’larını toplar, tanımlar, güvenlik tehditlerini ve şüpheli davranışları raporlar. SIEM ürünü bunun dışında birçok network’ten ve cihazdan toplanan bütün log data’larının depolanmasını, arşivlenmesini ve ilişkilendirilmesini sağlayarak , uzun zaman alan adli soruşturmaları ( Forensic Investigation) kolaylaştırır (Sonuçlandırılabilmesini sağlar).

Peki bu toplanan milyarlarca log data’sına ne oluyor?

SIEM çözümü, bu dataların ilişkilendirilip , işlenip, anlaşılır bir şekilde GUI

ile size sunulmasını da sağlar. Bunu tümleşik(integrated) olan GUI Dashboard’lar ile , yada ihtiyac doğrultusunda bazı yasal düzenlemelere göre uyarlanmış (HIPAA,Hitech, SOX.vb) raporlar aracılığıyla bize sunar.

SIEM çözümü, network ataklarını veya tehditlerini hafifletmez ancak, yöneticilerin bu atakları kısa sürede tanımlaması için yardımcı olur ve önlem alınmasını sağlar.

SIEM çözümü tarafından izlenebilen event’lere örnek olarak,

– Yönetici ya da kullanıcı aktiviteleri tarih/saat ile izlenir ve policy ihlalleri raporlanır.

– Bütün dosya erişimlerini ,özellikle hassas klasörlere erişimleri ( mesela kredi kartı bilgileri, satış raporları, özgeçmiş bilgileri vs.), görüntüleyebilir.

– Log dosyalarının tamamı monitor edilir ve değişiklikler raporlanır.

– Network Security cihazlarının, Network Gateway cihazlarının ,kablolu ve kablosuz cihazların ürettikleri bütün loglar monitor edilir.

– Ayrıca, bütün AAA ( Authentication, Authorization and Accounting Systems – AD, RADIUS, vs) sistemlerin, Web Application’larının, Database’lerin izlenip, yapılan bütün aktivitelerin log olarak saklanmasını sağlar.

– Bütün şüpheli user aktivitelerini izler.

– Kritik sistem event’lerini , sistem kesintilerini izler.

– Network bileşenlerindeki konfigürasyon değişimlerini bulur, eğer illegal bir erişim var ise farkeder, internal user’larınız için; kimin, ne zaman ve ne şekilde eriştiğini raporlar.

Peki bir SIEM ürünü almanın avantajları nedir?

SIEM ürünlerinin,birçok branch’ten ve binlerce cihazdan aldığı loglar ile network tehditlerini gerçek zamanlı olarak izleyip , yakalaması , analiz etmesi , hızlı bir şekilde aksiyon alınmasını sağlaması; adli soruşturmaların hızlıca ve kolayca yapılmasını sağlaması; log’ların ve event’lerin raporlanması ve GUI tabanlı gösterilmesi; birçok farklı network cihazından aldığı farklı formatlardaki logları ilişkilendirmesi; false positive olayların sayısını düşürmesi ve daha sayamadığım birçok meziyeti sistem yöneticileri için çok büyük avantaj sağlar.

Bu yazımda kendi alanında Gartner’s Magic Quadrant raporlarına göre lider olarak gösterilen ArcSight ürününü incelemek istedim……

Best SIEM Solution : ArcSight

ArcSight Ürününe Genel Bakış

clip_image002

ArcSight ürünü, Security Information and Event Management kategorisinde Gartner’s Magic Quadrant raporuna göre liderler arasında ve lider olarak görülmektedir.

ArcSight’ın yaklaşımı, gözlem ve kontrol için tek iletişim noktası oluşturmaktır. Uygun olan bütün event verisini toplar ve standart bir forma sokar. Analiz için merkezi bir yerde toplar. Sonuç olarakta, kurumsal aktiviteleri izlemenizi ve gerekliyse aksiyon almanızı kolayca sağlar. Bu sizin yasal gerekliliklere uygunluğunuzu ve iş sürekliliğinizi arttırır.

Peki ArcSight ürününün öne çıkan özellikleri ve diğer ürünlerden farklılıkları nelerdir?

clip_image004

Yukarıdaki resimde görüldüğü gibi 3 özelliği bir arada kullanır. Collection, Correlation ve Ability of Scale.

Collection:

Herhangi bir veri kaynağından ( firewall, server, desktop, router, application server, database, vs.) event toplama işidir. Hızlılık, kullanım kolaylığı ve geleceğe dönük geliştirilebilir yapısı tercih sebebidir. ArcSight içerisinde tanımlı yaklaşık 300 adet farklı connector aracılığıyla farklı cihazlardan log toplamanız oldukça kolaydır. ArcSight Connector Toolkit ile de istediğiniz gibi connector geliştirmeniz mümkündür. Bu, kurumlar için oldukça önemlidir. Çünkü , network’te varlığından bihaber olduğunuz cihazları bulup onlardan da data toplamak isteyebilirsiniz. Bu durumda geliştirdiğiniz custom connector’ler devreye girer. Diğer SIEM ürünleri ile karşılaştırıldığında, ArcSight User-Friendly ve hızlı çözüm üretebilir yapısı ile öne çıkar. Ayrıca, özel olarak oluşturduğumuz rule’lar ve yaptığınız analizler sonucu elde ettiğiniz raporlar , siz ekipmanlarınızı değiştirseniz bile çalışmaya devam eder. Bu önemli bir farktır. Sizi üretici bağımlılığından kurtarır ve geleceğe dönük risk analizini azaltır.

Correlation:

Görünürde birbiri ile ilişikli olmayan event’leri ilişiklendirir ve ortaya asıl veriyi çıkarır. İyi bir correlation ile milyonlarca event içerisinden filtreleme yapar ve önemli olana odaklanmanızı sağlar. Fazla sayıdaki “ false positive” ler ve fazla sayıdaki “false negative alert” ler dikkatinizi dağıtır. ArcSight birçok teknik kullanarak ( time windows, context analysis…..) veriyi süzer. Böylece siz, hergün üretilen milyonlarca event arasından önemli olana odaklanabilirsiniz.

Ability to Scale:

Sürekli büyüyen, genişleyen bir kurumda bu genişleme nedeniyle Security Management Platform’unda oluşabilecek darboğazı engellemek istersiniz. ArcSight kolayca ölçeklendirilebilir yapısı ile genişleyen network’ünüze uyum sağlar. Beklenen ve planlananın dışında bir veri toplansa bile event’leri aynı şekilde analiz etmeye devam eder. Bu özelliği ile de tercih sebebidir.

ArcSight Security Monitoring Platform

ArcSight, merkezi bir yönetim platformu ve event akışını yöneten, analizi kolaylaştıran ve olaylara müdaheleyi sağlayan çeşitli bileşenlerden oluşur.

clip_image006

ArcSight Solution’ını 3 katmanda inceleyebiliriz.

Yukarıdaki resimde görüldüğü gibi;

Collection katmanında, Smart Connector bileşeni ve Connector Appliance’ı bulunmaktadır. Şirketinizdeki her tip sistemden event’leri toplar. Bu sistemlerden toplanan çok farklı formatlardaki verileri standart bir formata sokar ve monitoring katmanına uygun hale çevirir.

Archiving katmanında bulunan ArcSight Logger, işlenmiş verilerin ve bu verilerden alınan geçmiş raporların uzun süreli depolanmasını sağlar.

Monitoring katmanı ise, gerçek zamanlı problemleri elde etmek için standart hale getirilmiş verilerin ilişkilendirilmesini sağlayan core platform’dur. Bu katmanlar üzerine opsiyonel olarak farklı modüller eklenebilir. Örneğin, compliance, identity theft ve fraud monitoring gibi….

clip_image008

ArcSight Solution Topology

clip_image010

Yukarıdaki topology’de gördüğünüz gibi ArcSight bileşenlerini çeşitli katmanlarda konumlandırıp hassas kontrol, esneklik, gelişmiş discovery ve spesifik olayların iyileştirilmesini sağlayabilirsiniz.

Şimdi ArcSight SIEM ürününün bileşenlerini tek tek inceleyeceğiz.

clip_image012

1- ArcSight ESM ( Enterprise Security Management)

Son yıllarda artan online dolandırıcılık, hacking, içeriden gelen tehditler nedeniyle şirketler güvenlik altyapısına çok fazla önem vermeye başladı. Bu nedenle de yüklü miktarda firewall, IPS, IDS cihaz ve uygulamalarına yatırım yapıldı ve yapılmaktadır. Bu güvenlik tehditlerine ek olarak, şirketler, güvenlik tarafındaki yasal yükümlülükleri ve bunların yaptırımları ile karşı karşıya kaldılar. Tabi ki bunlar bazı zorluklar oluşturdu. Örneğin Firewall , IDS cihazlarından aşırı miktarda veri akışı ve sistem log’u ve bunun karşılığında bu log’ların değerlendirmesi için gereken kaynak yetersizliği , çok fazla sayıdaki sistem event’lerine bağlantı için efektif bir yol olmayışı ve bazen aynı anda örneğin10 monitör izlemek zorunda kalınması ve bunlara müdahale zorluğu gibi. Karşılaşılan bu zorluklar nedeniyle farklı çözüm arayışlarına girildi.

ArcSight ESM, tam da bu kısımda önemli bir rol oynamaktadır.

ArcSight Manager, ArcSight SIEM solution’ının merkezidir. Manager, belli bir standart haline getirilmiş verileri network’ün her tarafına yayılmış olan Smart Connector’lerden alır ve ArcSight Database’ine yazar. Bu verileri correlation engine sayesinde işler. Correlation Engine, gerçek zamanlı tehdit özetlerini geliştirmek için güvenlik açığı bilgileri ve network modeli ile birlikte her event’i değerlendirir ve doğru sonuca ulaşır. ArcSight Console ve ArcSight Web aracılığı ile de, analistlerin bütün uygulamalardan ve cihazlardan gelen bütün log’ları gerçek zamanlı olarak görmelerini,incelemesini sağlar.

clip_image014

ArcSight ESM, ek olarak birkaç özelliği de beraberinde getirir:

1- Event Correlation , fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için birkaç farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.

2- Asset and User Modeling, gerçek tehditleri uygun bir şekilde önceliklendirir.

3- Real-Time Alerting, şu anda network’te ne oluyorun güncel bilgisini sunar.

4- User Friendly Analysis and Investigative Tools, potansiyel tehditleri kolayca görmenizi sağlar.

5- Activity Profiling, eski verilere dayalı olarak modelleri keşfetmeyi sağlar.

6- Built-in Compliance Reporting, denetimleri ve yükümlülükleri geçmenizi sağlar.

ESM, software ya da 2U hardware olarak bulunmaktadır. ESM Appliance’ını almak, sizi ayrıca bir donanım ihtiyacından kurtararak hızlı ve kolay bir çözüm sağlar.

2- ArcSight Express

Şirketler , sürekli olarak internal ve external kaynaklardan gelen ataklara maruz kalmaktadır. Bu atakların içeriği genelde hack, bot, malware,security breach ve virus olmaktadır. Küçük ve orta ölçekli işletmelerde bu ataklarla başa çıkmak için yeterli kaynak ve güvenlik uzmanı bulunmamaktadır. Bu işletmelerin bütçe yetersizliği, güvenlik uzmanı bulundurmama gibi sorunlarına rağmen diğer büyük rakipleri ile aynı yasal yükümlülüklere tabidir ve denetimleri geçmek zorundadır. Risk yönetimi için tanımlanmış bu yasal sorumluluklar şirkete yük getirir. Küçük işletmeler için bu gibi yasal yükümlülükler ile yüzleşmek oldukça pahalı ve imkansız girişimlere neden olabilir. Bunlara ek olarak küçük ve orta ölçekli bu işletmelerde zaten sayısı az olan güvenlik personelinin uzun süre bir security event’i ile ilgilenmesi mümkün değildir.

ArcSight Express, orta ölçekli işletmelerin karşılaştığı problemlerin çözülmesinde nasıl rol oynar?

ArcSight Express, correlation engine ve long-term storage olmak üzere 2 appliance ‘tan oluşur.

Birkaç ilave özellik ile gelir:

1- ArcSight Express Event Collection : ArcSight , 100’ün üstünde vendor (üretici firma) ve 50’nin üstünde cihaz kategorisi içeren 300’ün üzerinde ticari ürün için data toplamayı sağlayan SmartConnector’ler içerir. Desteklediği diğer ürünler içerisinde network ve güvenlik cihazları, database’ler ve kurumsal uygulamalar bulunur. ArcSight Connector’leri ,

– Identity and Access Management

– Data Leak Prevention

– Database Activity Monitoring

– Mainframe ve Applications destekler.

ArcSight Flex Connector ise, custom connector’ler geliştirmenizi sağlar.

ArcSight Connector’leri ile toplanan veriler, farklı format’lardadır. Bu smartconnector’ler çok farklı sistemlerden topladığı farklı formatlardaki bu verileri, Common Event Format (CEF) denilen standart bir formata çevirir.

2- Event Correlation Engine: ESM Correlation Engine, ön tanımlı correlation rule’ları ile potansiyel güvenliğe ve yasal yükümlülüğe uymayan problemlerinizi kolayca ve hızlıca keşfetmenizi sağlar. Ayrıca, önceden kurulu ArcSight Manager, ArcSight Database, ArcSight Web ve ArcSight Forwarding Connector ile gelir.

3- User Friendly Operator Console: Konsol kullanarak tek bir “tık” ile dashboard, report, case, knowledge base’ye erişilmesini sağlar.

4- Pre-Built Reports and Dashboards: Ön tanımlı rule’lar ve raporlar ile gelir ve bunlar yasal yükümlülükler ile uyumludur.

5- ArcSight Long-Term Storage and Search Capabilities: Logger, uzun süreli depolama ve raporlama için dizayn edilmiştir.

Genel olarak ArcSight Express’in yararlarını sıralayacak olursak,

– Asgari kaynak ve gelişmiş raporlama tekniği ile uygunluk denetimi ve adli soruşturmaya uygunluk,

– Etkili arama özelliklerine sahip uzun süreli depolama,

– Güvenlik ve uyumluluk sorunlarının etkin yönetimi,

– Hızlı kurulum ve asgari yönetimsel efor,

– Düşük bir maliyet ile geliştirilmiş güvenlik ve uyumluluk özelliklerini

sayabiliriz.

3- ArcSight Connectors

clip_image016

Şirketlerin, log toplama ile ilgili yüzyüze geldiği üç zorluk;

1- Sürekli değişen teknoloji ve tabi ki genişleyen network yapısı karşısında log verilerinin yönetimi ve logların toplanması zorluğu.

2- Cihazların, hostların, application’ların veya user’ların çok sayıda farklı formatlarda ve kategoride log üretmesi.

3- Yasal uyumluluk standartlarına uymayan işletmeler için ağır cezalar ile yüz yüze gelmesi.

ArcSight SmartConnector’lerin bu noktada amacı ve faydaları nelerdir peki?

1- Device Support : ArcSight çok fazla sayıda cihaz desteği sunar. Ayrıca yapınız değişse bile elde ettiğiniz raporları hala kullanmaya devam edebileceğiniz esneklikte sağlar.

2- Data Normalization and Categorization: SmartConnector’ler, formatı ne olursa olsun log verilerini toplar ve CEF(Common Event Format) adı verilen okunması anlaşılması kolay olan formata çevirir. Bu işleme normalization denir.Bu format (CEF), log dataları için uyumsuzluk yaşamadan device, vendor vs. değiştirme esnekliği sağlar.

3- Data Transmission for Audit Requirements: Denetim gerekliliklerine uygun bir şekilde data transferi sağlar. Smart Connector’ler 128 bit SSL bağlantı ile log’ları ArcSight bileşenlerine ulaştırır. Dolayısıyla hiçbir şekilde log transferi sırasında kayıp yaşanmaz.

Connector Appliance:

Connector Appliance’ı, onboard Smart Connector içeren bir hardware çözümüdür. Connector Appliance kullanmanın faydası,

– User-Friendly Web-Based kullanıcı arayüzü sunması.

– Hızlı ve basit bir kurulum çözümü olması.

– Çoklu SmartConnector kullanarak ArcSight kurulumu için işlem ve yönetim kolaylığı sunması.

4- ArcSight Logger

Yazımızın en başından itibaren bahsettiğimiz gibi şirketler log toplama, depolama ve analiz etme gibi zorluklarla mutlaka karşılaşmaktadır. Yasal yükümlülüklere göre de şirketler, her tür cihazdan log toplamak zorundadır ve yine bu logları yasalarla belirlenen süre boyunca saklamak zorundadır! Bunlara uyulmadığında da çok sert yasal yaptırımlar uygulanmaktadır.

ArcSight Logger, hızlı veri analizi, uzun süreli veri depolama, yüksek verimlilik için optimize edilmiş bir log yönetim çözümüdür. İşte bu özellikleri ile yapılandırılmış ya da yapılandırılmamış verilerin her ikisi için de akıllıca log yönetimi sağlar.

ArcSight Logger, farklı kaynaklardan farklı formatlardaki verileri alır, çoklu Logger’lar ile ölçeklendirilebilir çalışma sağlar. Farklı form factor çözümleri sunar ve 100 K EPS( event Per Second) ‘e sahiptir. RAW data’yı sıkıştırır, 42 TB üzerinde data arşivleyebilirsiniz.

ArcSight Logger Family:

3 farklı çeşitte bulabilirsiniz:

1- Data Center Appliances

2- SAN-Based Appliances

3- All-in-One Appliance

ArcSight Log Management Platform:

clip_image018

Üstteki resimde de görüldüğü gibi, ArcSight Log Management Platform, log verilerini yönetmek için 3 mantıksal katmandan oluşur:

1- ArcSight Connectors: Network’ünüzdeki bütün logları kapsamlı bir şekilde denetim kalitesine uygun olarak toplamayı sağlar. Topanan log verilerini ArcSight Logger ‘a aktarır.

2- ArcSight Logger: Aktarılan log verilerini efektif bir şekilde depolar ve analiz için erişilebilir hale getirir.

3- ArcSight Foundation and Compliance Insight Packages: Platformun en üstünde bulunan bu katman, önceden paketlenmiş içerik çözümlerini barındırır.

Logger User Interfaces:

Logger User Interfaces, SSL ile kullanılarak bağlantı kurulan bir web application’dır. Kullanıcı rolüne göre de arayüz sunarak limitli görünüş te sağlar(Role Based Access). Kullanımı oldukça kolaydır.

User Interface’den birkaç görüntü aşağıdadır.

clip_image020

clip_image022

5- Compliance Insight Packages (CIPs)

Şirketler ve devlet kurumları, yasal sorumluluklara uymak ve denetimleri geçmek zorundadır. Eğer tersi bir durum ile karşılaşırlarsa, Devlet ve denetimciler tarafından pahalı para cezaları ve farklı cezalar uygulanır.

ArcSight CIPs ( Compliance Insight Packeges) , bir ArcSight SIEM solution’ı üzerine kolayca kurulur. CIP, devlet yasalarına ve endüstri standartlarına göre özelleştirilmiş rule’lar, raporlar, filtreler ve dashboard’lar içerir.

clip_image024

CIPs for ArcSight ESM: ArcSight ESM bileşeni üzerine bir uyumluluk paketinin kurulması çeşitli avantajlar getirir. Öncelikle , Rule ve filtreler manager üzerinde kurulur. CIP dashboard’u ve raporlar, ArcSight Console ve Web’den erişilebilir hale gelir.

clip_image026

clip_image028

CIPs on ArcSight Logger: ESM CIP, gerçek zamanlı düzenlenmiş tehditler ve uyumluluk ihlallerine odaklanmışken, Logger CIP, raporlama ve uzun sureli açık araştırmalarının adli yönüne odaklanmıştır.

clip_image030

6- ArcSight IdentityView

Son yıllarda ‘Security Monitoring’ büyük bir evrim geçirdi aslında. Önceki yıllarda şirketler, hacker ataklarını gözlemlemek ve önlemek için perimeter network’lerine odaklanmışlardı. Öncelikli olarak firewall, IDS vs. cihazlarına yüklendiler. Fakat , email server , web server gibi tavizleri de vardı. Bunlarla da mücadele edebilmek için örneğin güvenlik açıkları ve host tabanlı denetleme gibi alt yapı ve servisleri de izlemeye başladılar. Sonrasında yasal yükümlülükler şirketleri, bilgi güvenliğini artırmak için veri gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamaya da zorladı.

Günümüzde ise şirketler, network’lerindeki çalışanların hassas data’ya izinsiz erişimleri ile karşı karşıya kaldılar. Dolayısıyla, Verimli bir şekilde güvenlik tehditlerini ve yasal uyumluluğu tam olarak sağlamak adına “Kim, ne aksiyon almış” ‘ı da izlemeye başladılar.

Yukarıda açıkladığım bu sebeplerden dolayı IdentityView’a ihtiyaç duyulur. Çok sayıda şirket bunlar için birçok Identity Monitoring tool’una milyarlarca yatırım yaptı. Fakat halen aşağıdaki soruların yanıtını alamamaktalar:

Hangi kullanıcı, hangi aksiyonu almış?

Veriye erişilmiş mi?

Erişilen veriler ile ne yapılmış?

Eski çalışanlar, danışmanlar ya da vendor’lar bizim sistemimize hala erişebiliyor mu?

İhbar süresini kullanan çalışanlar, bu süre içerisinde önemli ve gizli bir veriyi , şirketten ayrılmadan önce ele geçirebilir mi?

En büyük problem de paylaşılan hesap bilgileri J

Bir işletim sisteminin ya da bir uygulamanın administrator hesap bilgisi birçok kullanıcı tarafından bilinip kullanılmakta ??? Ve şirket bunu ne yazık ki kontrol edememektedir.

Tehditlerin neredeyse %57 ‘si de şirket için çalışanlardan ve kaynaklardan gelmektedir. Örneğin, aktivitelerin izlenmesi ile yetkili bir kullanıcı , diğer çalışanların bütün aktivitelerini gözlemlemektedir. Burada da kim “yetkili kullanıcı olacak” çok iyi seçilmesi gerekir.

ArcSight ESM SIEM solution üzerinde çalışan IdentityView, dolandırıcılık ve hırsızlık için dizayn edilmiş bir gözlem uygulamasıdır. IdentityView, ArcSight ESM ‘in monitoring, analiysing ve correlation yeteneklerini kullanarak Identity Management Solution’ının Role Based Access Control’u ile uyumunu sağlar.

IdentityView izleme işini nasıl yapar?

1- Identity Management ya da ArcSight Manager user event’lerini toplar ve işler. Ardından özelleştirilmiş bir Smart Connector ile IdentityView user event’lerini Identity Management System’inden alır.

2- İçerisinde user listesi, role’leri, hakları ve user event’lerini içeren bu log data’larını ESM correlation engine işler.

3- Korelasyonu yapılmış dataya bağlı olarak, IdentityView security alert’leri, uyumluluk dashboard’larını ve denetim raporlarını oluşturur.

IdentityView, bir dizi event’e dayalı olarak, çoklu bir tanımlamayı tek bir “entity” ’e çevirir. İhlali tespit etmek için, user aktivitesini , user role ve hakları ile karşılaştırır ve potansiyel tehdit olabilecek riskli kullanıcıyı gözler.

clip_image032

Bu yazımızda genel olarak ArcSight ürününü ve yetkinliklerini açıkladık. Bileşenleri üzerinde durduk. Umarım sizde bu muhteşem SIEM ürünü ile ilgili genel bir izlenim oluşturabilmişimdir.

Bir başka ArcSight yazımızda görüşmek üzere…..

7 comments found

    1. ArcSight vb. siem ürünlerinin windows security log’larını toplayan connector’leri File Server için de çalışır. Fakat, sırf bu iş için tasarlanmış audit ürünleri var. Ör: Dell Change Auditor gibi.
      Saygılarımla.

  1. hazır şekilde olan korelasyonlar yokmu.korelasyon yapmak gerçekden çok zor ve kaynak yok

Comments are closed.