My account

Фильтрация событий в IBM QRadar


0
172
September 01, 2017

При настройке любой SIEM-системы, в том числе и IBM Qradar, администраторы часто принимают ошибочное решение: «Давайте направим все логи в SIEM, а потом разберемся, что с ними делать».

Подобные действия чаще всего приводит к повышенному использованию лицензии, высокой загрузке SIEM-системы, появлению кэш-очереди на SIEM, а иногда даже к потере событий. В свою очередь это приводит к тому, что регистрация инцидентов происходит слишком поздно или вообще не происходит.

Как решить подобную задачу?

Основной вариант – фильтрация ненужных событий. Для настройки фильтрации требуется первоначальный анализ данных, которые уже поступают в SIEM систему. Это необходимо, чтобы определить, какие из них нужно отфильтровать, а какие – оставить. После того, как работа по определению нужных событий будет закончена, следует перенести настройки в IBM QRadar.


Вариант №1


Если события ОС Windows собираются с помощью агента WinCollect, то их можно отфильтровать следующим образом:


Переходим в Admin Log Sources. Открываем редактирование источника данных или создаем новый источник, с которого события собираются с помощью агента WinCollect.

 


В настройках LogSource необходимо заполнить все обязательные поля, выбрать какой тип логов необходимо собирать, в выпадающем меню “* Log Filter Type” требуется выбрать – “Exclusion Filter”. В поле “* Log Filter” – указать фильтр, удовлетворяющий следующим требованиям:
1. ID события      Пример: 17,338,873-875,1024
2. Название сервисов (ID событий через запятую или дефис), которые необходимо отфильтровать. Пример: Sysmon(1-3,6);Ossec(55,4667)



Вариант №2


Другой вариант фильтрации событий – использование “Routing Rules”.
Для этого необходимо перейти в закладку AdminRouting Rules.

 


Выбрать“Add

Заполнить обязательные поля – название и т.д.

В меню “Event Filters” указать фильтр, на основе которого будет производиться фильтрация событий.

В меню “Routing Options” отметить пункт “Drop”.

После сохранения правило фильтрации будет иметь вид:

Эти два варианта фильтрации событий позволят вам существенно снизить потребление EPS вашей SIEM-системой и тем самым повысить ее ROI. Производительность и кэширование событий IBM QRadar сохранятся на должном уровне.

Помните, излишняя фильтрация может убрать важные события из анализа и корреляции. Будьте внимательны при добавлении фильтров и проверяйте результаты фильтрации.

 

Sergii Tyshchenko

Sergii Tyshchenko

Senior Technical Account Manager at SOC Prime
Sergii Tyshchenko

Latest posts by Sergii Tyshchenko (see all)

Related Posts