Servis Bazlı SIEM Entegrasyonu Nasıl Yapılır? Log Formatları Nelerdir?
Hakkında
SIEM Entegrasyonu Nedir?
SIEM (Security Information and Event Management), güvenlik bilgisi ve olay yönetimi demektir. Bir SIEM sistemine entegrasyon, genellikle farklı güvenlik kaynaklarından gelen verilerin toplanması, analiz edilmesi, olayları tespit etmek ve raporlamak için SIEM platformuna entegre edilmesini ifade eder.
Servis Bazlı SIEM Entegrasyonu Nedir?
TR7 üzerinde oluşturulan profiller bir veya birden fazla serviste kullanılabilmektedir. SIEM entegrasyonu için oluşturulan "Logs" profili, oluşturulduktan sonra istenilen bir vService'e atanarak o vService özel kullanılmak için hazır hale gelir.
Uyarı
Oluşturulan "Logs" profili birden fazla vService'e atanabilir.
Log Formatları Nedir?
TR7 tarafından desteklenen, logların SIEM tarafına hangi format ile gönderileceğini belirtir. TR7 cihazı tarafından desteklenen 9 adet log formatı vardır:
- Standart Log Format
- Apache Combined Log Format ( Standard + Referrer + User Agent )
- Apache VHost Log Format ( Vhost + Standard + Referrer + User Agent )
- CEF Format
- TR7 JSON Format
- TR7 WAF Log
- Manuel JSON
- Manuel CEF
- Manuel Log Line Format
Arayüz
Log Profili Konfigürasyonu
Adım > 1
"Trafik Manager > Profiles > Logs" adımları takip edilir. Açılan ekranda Add butonuna tıklanır.
Adım > 2
"Log Adresses" kısmında SIEM sunucusunun/sunucularının (birden fazla girmeyi destekler) IP ve Port bilgileri girilerek SIEM entegrasyonu yapılmış olur.
Adım > 3
"Line Format" kısmından istenilen log formatı seçilerek log profili oluşturulmuş olur.
Adım > 4
Oluşturulan log profili istenilen vService'lere atanabilir.