CyberFlow Logo CyberFlow BLOG
Soc L1 Log Kaynaklari Veri Turleri

EPS (Olay Saniyesi) Nedir? Lisanslama Modellerinin Etkisi

✍️ Ahmet BİRKAN 📂 Soc L1 Log Kaynaklari Veri Turleri

Siber güvenlikte EPS kavramı nedir? Lisanslama modellerinin etkileri ve sistemlerin veri işleme hızları hakkında bilgi edinin.

EPS (Olay Saniyesi) Nedir? Lisanslama Modellerinin Etkisi

EPS, bir log kaynağının SIEM'e gönderdiği olay sayısını ifade eder. Bu yazıda, EPS'in önemi, lisanslama etkileri ve sistem performansı üzerindeki rolünü keşfedin.

Giriş ve Konumlandırma

Hız Birimi: EPS Nedir?

Siber güvenlik alanında verilerin gerçek zamanlı analizinin önemi giderek artmaktadır. Bu bağlamda, Olay Saniyesi (EPS - Events Per Second) kavramı, bir sistemin veya log kaynağının SIEM (Security Information and Event Management) sistemine saniyede gönderdiği olay sayısını ifade eder. EPS, bir sistemin veri işleme kapasitesini ölçmek için kullanılan temel performans göstergelerinden biri olmasının yanı sıra, tehdit tespit yeteneği ve sistemin genel sağlığı hakkında önemli bilgiler sunar.

EPS, bir organizasyonun güvenlik duruşunu belirlemek için kritik bir bileşendir. Özellikle, saldırı tespit sistemleri (IPS) ve güvenlik duvarları gibi güvenlik bileşenlerinin etkinliği, doğru bir EPS ölçümü ile değerlendirilir. Bu nedenle, EPS değeri sadece teknik bir hesaplama değil, aynı zamanda siber güvenlik stratejisinin bir parçası olarak görülmelidir.

Matematiksel Mantık: EPS Hesabı

EPS hesaplamak oldukça basittir. Toplam olay sayısını belirli bir süre (genellikle saniye) ile bölerek EPS değeri elde edilir. Aşağıda, EPS hesaplama formülü örneği verilmiştir:

EPS = Toplam Olay Sayısı / Süre (Saniye)

Örneğin, bir sistem bir dakikada 60.000 olay kaydediyorsa, bu durumda EPS değeri:

EPS = 60000 olay / 60 saniye = 1000 EPS

Bu basit hesaplama, sistem yöneticilerine, log akışlarının sağlıklı bir şekilde yönetilip yönetilmediğini anlamalarında yardımcı olur.

Cüzdanın Düşmanı: Lisans Modelleri

Siber güvenlik alanında kullanılan SIEM çözümleri, farklı lisanslama modellerine dayanarak çalışır. Bu lisans modelleri genellikle EPS’ye göre belirlenir. Örneğin, bazı SIEM üreticileri, kullanıcıların sınırlı sayıda olay işledikleri durumlarda daha düşük maliyetler sunar. Ancak organizasyonun EPS değerinin kritik bir şekilde artması durumunda, bu durum maliyetleri etkileyebilir.

Bir SOC (Security Operations Center) yöneticisi, lisanslama modellerinin çeşitliliğini dikkate alarak bütçe planlaması yapmalıdır. Örneğin, EPS tabanlı lisanslama, sistemin olay işleme hızına bağlı olarak fiyatlandırırken, bazı modeller günlük veri büyüklüğüne (data-volume) ya da kurulu sunucu sayısına (node-based) göre fiyatlandırma yapar. İşte bu noktada, işletmenizin güvenlik gereksinimlerini tam anlamıyla karşılayan doğru lisans modelini seçmek, maliyet yönetimi için hayati önem taşır.

Sıçrama Noktası: Peak EPS

Olayların akışı her zaman sabit kalmaz. Mesai saatlerinde veya bir siber saldırı sırasında EPS değerinin ani bir sıçrama göstermesi mümkündür. Bu en yüksek anlık EPS değeri "Peak EPS" olarak adlandırılır ve çoğu SIEM lisansında dikkate alınması gereken kritik bir değerdir. Şayet bu değer göz ardı edilirse, ani bir artış durumunda sistemin lisans kapasitesinin aşılma riski bulunmaktadır.

Maliyet Yönetimi: Gürültü Azaltma

Siber güvenlik sistemleri tarafından üretilen logların bir kısmı, gereksiz olan veya 'gürültü' olarak kabul edilen verilerden oluşur. Özellikle firewall ve sysmon gibi kaynakların üretmiş olduğu bu tür loglar, EPS değerini artırabilir ve dolayısıyla gereksiz maliyetlere yol açabilir. Bu nedenle, 'Noise Reduction' yani gürültü azaltma teknikleri, EPS optimizasyonu için önemli bir yöntem olarak öne çıkmaktadır.

Bu teknikler, sistemin gereksiz logları filtrelemesi yoluyla etkili bir maliyet yönetimi sağlar.

Felaket Senaryosu: Data Dropping

Eğer bir sistemin EPS değeri lisans sınırını aşarsa, iki yol ile karşılaşabiliriz: Verinin sıraya alınması (queuing) veya veri kaybı (dropping). İkinci madde, özellikle bir güvenlik olayında ortaya çıkabilecek en kötü senaryodur; çünkü bu durumda kritik bilgi kaybı yaşanabilir. Veri düşürme, log kaynağının veya ajanının çökmesi gibi sorunları işaret edebilir. Bu nedenle EPS’nin ve onun taşıdığı risklerin izlenmesi, siber güvenlik stratejisinin temel taşıdır.

Özetle, EPS, sisteminizin sağlık durumunu ve maliyet etkinliğini yansıtan önemli bir ölçüttür. Bu nedenle, EPS’i dikkatlice izlemek ve uygun lisanslama stratejileriyle desteklemek, siber güvenlik planlamalarının başarısı için kritik bir rol oynamaktadır.

Teknik Analiz ve Uygulama

Hız Birimi: EPS Nedir?

Olay Saniyesi (Events Per Second - EPS), siber güvenlik araçlarının temel performans göstergelerinden biridir. EPS, bir log kaynağının veya tüm sistemin, SIEM (Security Information and Event Management - Güvenlik Bilgisi ve Olay Yönetimi) sistemine gönderdiği olay sayısını belirtir. Bu birim, bir sistemin veri işleme hızını ve donanım kapasitesini ölçmek için kullanılır. Bir sistemin verimliliğini analiz etmek, olası durumları belirlemek ve gerekli aksiyonları almak için EPS değeri kritik öneme sahiptir.

Matematiksel Mantık: EPS Hesabı

EPS hesaplamak oldukça basittir. Belirli bir zaman diliminde toplanan logların sayısı, bu zaman dilimine (saniye) bölünerek EPS değeri elde edilir. Matematiksel formül aşağıdaki gibidir:

EPS = Toplam Olay Sayısı / Süre (Saniye)

Örneğin, bir sistem dakikada 60.000 log üretiyorsa, bu durumda EPS değeri şu şekilde hesaplanır:

EPS = 60.000 / 60 = 1.000

Bu hesaplama, sistemin genel performansını değerlendirmek için temel bir başlangıç sunar. Ancak, sadece ortalama değerin izlenmesi yeterli olmayabilir; sistem trafiği anlık olarak dalgalanabilir.

Cüzdanın Düşmanı: Lisans Modelleri

SIEM üreticileri, farklı lisanslama modelleri sunar ve bu modellerin her biri sistemin maliyetini doğrudan etkiler. Genel olarak, üç temel lisans modeli vardır:

  1. EPS Temelli Lisanslama: Saniyede işlenen olay sayısına göre ücretlendirme yapılır.
  2. Veri Hacmi (GB/Gün): Günlük toplam veri boyutuna göre ücretlendirme söz konusudur.
  3. Sınırsız / Node Tabanlı: Log miktarına bakılmaksızın kurulan sunucu (node) sayısı üzerinden ''sınırsız'' lisanslama modeli uygulanır.

Bir SOC yöneticisi, bu lisanslama modellerinin detaylarını iyi anlayarak bütçesini daha verimli yönetebilir ve gerekli durumlarda sistem kaynaklarını optimize etme imkanı bulur.

Sıçrama Noktası: Peak EPS

Log akışı sabit değildir; mesai başlangıcında, olay anında veya bir siber saldırı esnasında EPS aniden yükselebilir. Bu en yüksek dönem, "Peak EPS" olarak adlandırılır. Örneğin, bir DDoS saldırısı sırasında saniye başına 10.000 log üretiliyorsa, bu durum bir EPS sıçramasıdır. SIEM lisansı alırken sadece ortalama değerin izlenmesi yetmez, bu ani yükselişlerin de yönetilmesi gerekir.

Log kaynağının kapasitelerinin bu ani değişiklikleri nasıl yöneteceği, sistemin sürdürülebilirliği açısından önemlidir.

Maliyet Yönetimi: Gürültü Azaltma

Özellikle güvenlik duvarları (Firewall) ve sistem izleme (Sysmon) gibi "gürültülü" kaynaklar, gereksiz log üreterek EPS değerini olumsuz etkileyebilir. Lisans maliyetlerini azaltmak ve sistem performansını artırmak için gereksiz logların elemesi gerekmektedir. Bu işlem, "Noise Reduction" olarak bilinir ve çoğunlukla log kaynağında yapılan filtreleme işlemi ile gerçekleştirilir.

Aşağıdaki örnek, bir güvenlik duvarı için gereksiz logların nasıl filtreleneceğini göstermektedir:

# Syslog.log dosyasından belirli bir seviye altında olayları filtrele
grep -v 'INFO' Syslog.log > FilteredSyslog.log

Yukarıdaki kod, "INFO" seviyesindeki logları filtreleyerek daha kritik logları öne çıkarmaktadır. Böylece EPS değerini düşürmeden, önemli olayları gözlemleyebilirsiniz.

Felaket Senaryosu: Data Dropping

Eğer sistemin EPS değeri, belirlenmiş olan lisans sınırını aşarsa, SIEM genellikle iki yoldan birini tercih eder: veriyi sıraya alabilir (queuing) ya da kapasite fazlası logları tamamen yok edebilir. İkinci durum, "Data Dropping" olarak adlandırılır ve bir siber olay sırasında yaşanması son derece tehlikelidir. Bu durum, kritik bilgilerin kaybına yol açabilir ve olay sonrası analizlerde ciddi eksiklikler oluşturabilir.

Özet: Analistin EPS Takip Listesi

EPS değeri, hem maliyet hesaplamaları hem de sistem sağlığı açısından kritik bir veri setidir. Sistem yöneticileri, EPS'yi takip ederek yalnızca maliyetleri gözlemlemekle kalmayıp, aynı zamanda sistemin genel performansını da iyileştirebilirler. Sistem üzerindeki değişikliklerin ve anlık olayların etkilerini analiz ederek, sağlıklı kararlarla sistemin güvenliğini artırabilirler.

Siber güvenlikteki hızlı değişimlere yanıt verebilmek için EPS'i sürekli izlemek, olası sorunları önceden tespit etmek için gereklidir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, elde edilen bulguların yorumlanması, güvenlik duruşunun güçlendirilmesi için kritik bir adımdır. Olayları analiz ederken karşılaşılan riskler, yanlış yapılandırmalar veya mevcut zafiyetler, sistemin genel güvenlik seviyesi üzerinde doğrudan bir etki oluşturur.

Elde Edilen Bulguların Güvenlik Anlamı

Olayların güvenlik anlamını yorumlamak için, EPS (Events Per Second) değerlerinin analizi büyük önem taşır. EPS, belirli bir zaman diliminde bir log kaynağından SIEM (Security Information and Event Management) sistemine gönderilen olay sayısını ifade eder. Örneğin, bir sistemin bir dakikada 60.000 log ürettiğini varsayalım: 

Toplam Olaylar: 60.000 
Süre: 60 saniye
EPS = Toplam Olay Sayısı / Süre = 60.000 / 60 = 1.000

Bu durumda, EPS değeri 1.000'dir. EPS değerinin yüksekliği, sistemin yük altında nasıl davrandığını ve herhangi bir güvenlik açığının izlenip izlenmediğini gösterir.

Yanlış Yapılandırmalar ve Zafiyetlerin Etkileri

Yanlış yapılandırmalar, sistemin veri akışını yanıltabilir ve güvenlik risklerine yol açabilir. Örneğin, bir güvenlik duvarı (firewall) yanlış düzenlenmişse, kötü niyetli bir kullanıcı izinleri aşabilir ve sistem üzerinde yetkisiz erişim elde edebilir. Zafiyetlerin kötüye kullanılması, sızan veri, topoloji ve servislerin keşfi gibi sonuçlar doğurabilir.

Bir durum senaryosunda, bir saldırganın DDoS (Distributed Denial of Service) saldırısı ile EPS değerinin ani bir şekilde artması, tepe değerin (peak EPS) kontrol edilmesi gerektiğini gösterir. Bu tür sıçramalar, her zaman bir saldırı belirtisi olmayabilir, fakat sistemin güvenliğini tehdit eden durumları derinlemesine incelemek gereklidir.

Sızan Veri ve Servis Tespiti

Sızan verilerin belirlenmesi, bir diğer kritik unsurdur. Log kayıtları, genellikle şüpheli aktivitelerin izini taşır. İyi yapılandırılmış bir sistem, anormal EPS değerlerini tanımlayıp hızlı bir şekilde yanıt verebilecek duruma gelir. Bu tür anormallikler, örneğin, çok sayıda başarısız girişim ya da makul olmayan log sayısı ile kendini gösterebilir. Aşağıda EPS değerlerini izleyip analiz edebileceğiniz kısa bir Python kodu bulunmaktadır:

import matplotlib.pyplot as plt

# Örnek EPS değerleri
eps_values = [850, 950, 1200, 1100, 1000, 1300, 1600, 900]
time_frame = range(len(eps_values))

plt.plot(time_frame, eps_values, marker='o')
plt.title('EPS Değerleri Zamanla')
plt.xlabel('Zaman')
plt.ylabel('EPS')
plt.axhline(y=1000, color='r', linestyle='--', label='Yüksek Sınır')
plt.legend()
plt.show()

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik zafiyetlerini en aza indirmek için gerçekleştirilmesi gereken hardening (sağlamlaştırma) önlemleri arasında şunlar yer alır:

  1. Ağ Segmentasyonu: Ağ içindeki kaynakları izole etmek, saldırganların bir noktadan başka bir noktaya geçmesini zorlaştırır.

  2. Erişim Kontrolleri: Kullanıcı izinlerinin düzenli olarak gözden geçirilmesi ve minimum erişim ilkesi (principle of least privilege) uygulanması, potansiyel zafiyetleri azaltır.

  3. Log Yönetimi: Logların düzenli olarak izlenmesi, koruma önlemlerinin etkisini analiz etmek ve olası tehditleri zamanında tespit etmek için kritiktir.

  4. Eğitim ve Farkındalık: Çalışanların siber güvenlik konusunda bilinçlendirilmesi, insan hatalarından kaynaklanan zafiyetleri azaltır.

Sonuç

Siber güvenlikte, elde edilen bulguların analizi, risklerin yalnızca belirlenmesi değil, aynı zamanda bu risklere karşı uygun önlemlerin alınması açısından da hayati öneme sahiptir. Yanlış yapılandırmalar, zafiyetler ve anormal EPS değerleri, sistemin genel güvenlik durumunu etkileyen unsurlardır. Güvenlik duruşunu sağlamak için hardening önlemlerinin uygulanması gerektiği unutulmamalıdır. Elde edilen verilerin sürekli izlenmesi, siber güvenlik stratejilerinin güçlendirilmesine katkıda bulunacaktır.