İçereği Atla

Welcome

Share the best content, technical solutions, and new ideas; improve your expertise and learn together with the community.

Sign Up 

You need to be registered to interact with the community.
Tüm Gönderiler  Kişiler  Rozetler
Etiketler (Tümünü Gör)
Support
About this forum
This question has been flagged
2 Cevaplar
73 Görünümler
Avatar
Amina Kaptan

Merhaba;

Korelasyon filtreleri, yanlış pozitif alarmları azaltırken gerçek tehditleri kaçırmayacak şekilde nasıl optimize edilmelidir? Filtreleme kurallarında en kritik dikkat edilmesi gereken noktalar nelerdir?

Avatar
Sil
Avatar
Mehrinaz BOZ

Merhaba,

Korelasyon filtreleri ayarlanırken hem gereksiz alarmların azaltılması hem de gerçek tehditlerin kaçırılmaması önemli. Bu yüzden sistemin normal trafiğine uygun eşik değerleri belirlenmeli, sürekli aynı ve güvenilir log üreten kaynaklar için gerekli filtrelemeler yapılmalıdır. 

Ayrıca kurallar düzenli olarak kontrol edilip ihtiyaç durumuna göre güncellenmelidir.

Avatar
Sil
Avatar
Ayşe CAN

Selamlar,

Korelasyon filtreleri; zaman penceresi, eşik değerleri ve varlık (IP/kullanıcı) bazlı ilişkilendirme dengeli kurulmalıdır. Fazla sıkı kurallar false positive’i azaltır ama saldırı kaçırabilir, fazla gevşek kurallar ise alarm gürültüsü üretir. Bu yüzden ortam davranışına göre sürekli tuning ve test edilmesi gerekir.

Avatar
Sil

Yanıtınız

Lütfen sorulara açıklayıcı ve faydalı yanıtlar vermeye özen gösterin. Soru veya cevap hakkında ek bir görüş belirtmek istiyorsanız yorum alanını kullanabilirsiniz. Yanıtlarınızı daha sonra düzenleyebileceğinizi unutmayın; bu nedenle aynı soruya birden fazla cevap vermenize gerek yoktur. Ayrıca oy vermeyi unutmayın. Oylarınız, topluluk için en faydalı soru ve cevapların öne çıkmasına yardımcı olur.