korelasyon
Bilişim sistemlerinde sahip olduğunuz pek çok donanım ve yazılım üzerinde sürekli olarak bir takım değişiklikler, güncellemeler gerçekleşmektedir. Örneğin bir firewall üzerinden geçen paketler birer olay olarak günlüklere yansımaktadır. AD üzerinde kullanıcı açma, silme, kullanıcının şifresini değiştirmesi, Anti Virüs sunucusu tarafında bir değişiklik veya bir tarama işleminin sonuçları hep olay olarak karşımıza çıkar. Bunları merkezi olarak bir log yönetim yazılımı ile toplayabilir daha sonra merkezi veri tabanı üzerinde arama yapabiliriz. Korelasyon ise bir birinden farklı olan bu olayların arasındaki ilişkiyi çıkarma işlemidir. Özetle elinizde bir yerel kullanıcı kimlik bilgisi çalınması, ardından onun il domain şifresi alınması, ardından ad de yeni bir kullanıcı açma ve bunu domain admin yapma gibi aslında bir birinden bağımsız olayların bir Pth atak olduğunu anlaması korelasyon sonucu olup bu nedenle özellikle SIEM ürünleri alınırken en güçlü olmasının istendiği yanlarından birisi de topladığı belki de milyonlarca olayı bu şekilde başarılı olarak sonuca ulaştırması ve biz sistem yöneticilerini uyarmasıdır.