Merhaba;
Korelasyon filtreleri, yanlış pozitif alarmları azaltırken gerçek tehditleri kaçırmayacak şekilde nasıl optimize edilmelidir? Filtreleme kurallarında en kritik dikkat edilmesi gereken noktalar nelerdir?
Welcome
Share the best content, technical solutions, and new ideas; improve your expertise and learn together with the community.
This question has been flagged
2
Replies
72
Views
Merhaba,
Korelasyon filtreleri ayarlanırken hem gereksiz alarmların azaltılması hem de gerçek tehditlerin kaçırılmaması önemli. Bu yüzden sistemin normal trafiğine uygun eşik değerleri belirlenmeli, sürekli aynı ve güvenilir log üreten kaynaklar için gerekli filtrelemeler yapılmalıdır.
Ayrıca kurallar düzenli olarak kontrol edilip ihtiyaç durumuna göre güncellenmelidir.
Selamlar,
Korelasyon filtreleri; zaman penceresi, eşik değerleri ve varlık (IP/kullanıcı) bazlı ilişkilendirme dengeli kurulmalıdır. Fazla sıkı kurallar false positive’i azaltır ama saldırı kaçırabilir, fazla gevşek kurallar ise alarm gürültüsü üretir. Bu yüzden ortam davranışına göre sürekli tuning ve test edilmesi gerekir.
Your Answer
Enjoying the discussion? Don't just read, join in!
Create an account today to enjoy exclusive features and engage with our awesome community!
Sign up