Teknik Rehber

FortiGate log normalization

Ham FortiGate loglari guvenlik ekibi icin tek basina yeterli degildir. Kaynak, hedef, servis, kullanici, geo-IP ve politika baglamlari normalize edilmeden tutarli korelasyon kurmak zorlasir.

Neler normalize edilmeli?

Kaynak ve hedef IP, port, policy ID, kullanici adi, VPN tipi, aksiyon, cihaz kimligi ve olay sinifi standart alanlara map edilmelidir.

Neden onemli?

Normalizasyon, ayni oturumu farkli log turleri arasinda baglamayi kolaylastirir ve yanlis pozitif alarm sayisini azaltir.

Case Study

30 gunluk FortiGate vaka calismasi

Toplam olay

4.0M+

Normalize edilen alan

120+

Alarm azalimi

%72

30 gunluk FortiGate logunda 4 milyonun uzerinde olayi normalize ederek alarm sayisini %72 azalttik. Bu sayede analistlerin manuel inceleme yukunu dusurup gercek tehditlere odaklanma suresini kisalttik.

FAQ

Normalizasyon olmadan ne kaybedilir?

Tutarlilik, korelasyon kalitesi ve hiz kaybedilir. Farkli log tipleri ayni olayi farkli sekilde anlattiginda ekibin resmi gormesi zorlasir.

FortiGate log normalization | Bivoxy