MikroTik cihazlar Türkiye'de yaygın. RouterOS logları doğru yapılandırılmazsa SIEM'e ya hiç gelmez ya da gürültüyle gelir.
1. Remote syslog adresi
/system logging action
add name=oxisec remote=SIEM_IP remote-port=5514 target=remote2. Hangi topic'ler?
firewall— drop/accept kuralları (zorunlu)info— DHCP, interface olaylarıwarning— brute force sinyalleri
3. SIEM tarafında
OxiSec MikroTik parser'ı action, src/dst IP ve interface alanlarını otomatik çıkarır. Port scan ve SSH brute force preset kuralları hazırdır.
NAT arkasındaki iç IP'ler için tenant eşlemesini dokümantasyondan kontrol edin.