Известно, что SIEM-проекты требовательны и жадны к ресурсам, и ваши ИТ-директора/CISO хотели бы услышать о ваших прямых (лицензирование ПО, инвестиции в серверы и т.д.) и косвенных (хранение архивов, поддержка) расходах, по крайней мере, на следующие 3 года, помимо выгод, которые обеспечит проект.
В этой статье я, конечно, приведу основные формулы для определения размера. Однако самая важная информация, которая будет предоставлена, - это реальный опыт эксплуатации, касающийся значений и сравнения этих значений с эталонными.
Первая единица, которая является основой для всех наших расчетов, - это значение события в секунду (EPS), которое генерирует каждая система источника. Значение EPS сильно зависит от двух факторов, политики или правил аудита, применяемых на исходной системе, и бизнеса системы. Сервер с включенными правилами аудита "Доступ к объектам" и настроенной функциональностью веб-сервера, конечно, не будет генерировать такое же количество журналов, как обычный сервер. Серверы семейства Windows также имеют тенденцию генерировать гораздо большее количество журналов, чем серверы Linux и UNIX, все со стандартными конфигурациями по умолчанию.
После расчета количества EPS для каждой группы активов источника следующим шагом будет расчет значения события в день (EPD).
EPD = ∑ EPS X 86400
После расчета значения EPD нам необходимо определить средний размер сообщения журнала, чтобы знать, сколько памяти нам потребуется каждый день. Источники журналов генерируют журналы размером от 200 байт на сетевых и инфраструктурных устройствах до 10 килобайт и более на стороне приложений и баз данных. Стандарт Syslog (RFC 5424) устанавливает максимальный размер поля содержимого сообщения журнала в 2 килобайта. В свете этой информации, разумно и целесообразно принять размер необработанного сообщения журнала равным 500 байтам.
При среднем размере необработанного сообщения журнала в 500 байт, объем ежедневных сообщений журнала в ГБ рассчитывается следующим образом:
Размер ежедневного необработанного журнала = EPD * 500 / (1024) ^ 3
Устройства управления журналом вносят некоторые изменения в сообщения журнала, чтобы сделать их понятными и осмысленными. Эта операция называется "нормализация", и она увеличивает размер журнала в зависимости от используемого решения. Нормализация увеличила размер журнала примерно на 90-100%. Некоторые другие люди наблюдали в своем опыте увеличение до 200%. В результате мы получаем приведенную ниже формулу для ежедневного нормализованного размера журнала:
Ежедневный нормализованный размер журнала = Ежедневный необработанный размер журнала * 2
Рассчитанное значение на самом деле не отражает величину ежедневного хранения для систем управления журналами. Многие производители разработали собственные решения по сжатию и утверждают, что они сжимают журналы в 10 раз (10:1), что довольно идеалистично. Однако для расчетов можно принять соотношение 8:1. Таким образом, формула выглядит следующим образом:
Ежедневная потребность в хранении = Ежедневный нормализованный размер журнала / 8
Если вы хотите, чтобы ваши расчеты были безопасными, то годовая потребность в хранении будет равна 365-кратному значению суточной потребности в хранении. Тем не менее, показатели EPS серьезно падают во время выходных и отпусков. Следите за тем, как сильно снижаются средние показатели EPS в такие периоды, и сделайте собственные расчеты для годовой потребности.
Годовая потребность в хранении = ежедневная потребность в хранении * 365
Последний важный момент - это период хранения, когда вы планируете инвестиции в хранение данных на будущее. При определении периода хранения решающее значение имеют два фактора: требования соответствия и требования безопасности.
По данным компании Mandiant, среднее количество дней, в течение которых злоумышленники находились в сети жертвы до их обнаружения, составило 205 дней в 2014 году, что меньше, чем 229 дней в 2013 году и 243 дня в 2012 году. Это приводит к выводу, что период хранения данных для создания предупреждений безопасности, мониторинга, отслеживания тенденций и криминалистики должен составлять не менее 1 года и не более 3 лет. Согласно тому же исследованию компании Mandiant, "самое длительное время присутствия злоумышленника до его обнаружения в 2013 году составило шесть лет и три месяца". И последнее, но не менее важное: период хранения данных, конечно же, зависит от сектора деятельности, при этом самым длительным и строгим является оборонный сектор, за которым следуют финансовые учреждения.
Грубую оценку значения Storage IOPS можно рассчитать по следующим формулам:
Необходимое количество IOPS для хранения (Хранилище с прямым подключением) = EPS * 1.2
Необходимое количество IOPS для хранения данных (SAN) = EPS * 2,5