ArcSight. Optimierung von EPS (Aggregation und Filterung)

Fast alle ArcSight-Anfänger stehen vor der Situation, dass eine hohe eingehende EPS von den Protokollquellen vorliegt, insbesondere wenn dies kritisch für die Lizenzgrenzen ist oder Leistungsprobleme verursacht.

Um die eingehende EPS zu reduzieren, bietet ArcSight zwei einheimische Methoden zur Ereignisverarbeitung: Ereignisaggregation und Filterung. In diesem Artikel werde ich versuchen zu erklären, wie man die eingehende EPS mit diesen beiden Optionen optimiert.

Aggregation von Ereignissen

Die erste und effektivste Option ist die Aggregation auf Connectoren. Aggregation ermöglicht es, viele ähnliche Ereignisse zu einem Ereignis zu aggregieren; es ist wie eine intelligente Komprimierung. Es kann bis zu 10000 Ereignisse in ein Ereignis aggregieren; das bedeutet, dass Sie die eingehende EPS um das bis zu 10000-fache reduzieren können. Schauen wir uns an, wie es funktioniert.
Ein Firewall hat 3 ähnliche Ereignisse an ArcSight gesendet:
Ergebnis=Erlauben, Quell-IP=x.x.x.x, Quell-Port=xx, Ziel-IP=y.y.y.y, Ziel-Port=yy
Ergebnis=Verweigern, Quell-IP=x.x.x.x, Quell-Port=xx, Ziel-IP=z.z.z.z, Ziel-Port=zz
Ergebnis=Erlauben, Quell-IP=x.x.x.x, Quell-Port=xx, Ziel-IP=y.y.y.y, Ziel-Port=yy
Hier sehen wir, dass das 1. und 3. Ereignis gleich sind, und in diesem Fall wird der Connector mit aktivierter Aggregation das 1. und 3. Ereignis zu einem Ereignis kombinieren mit dem Feld:
Ergebnis=Erlauben, Quell-IP=x.x.x.x, Quell-Port=xx, Ziel-IP=y.y.y.y, Ziel-Port=yy Aggregierte Ereignisanzahl=2.Um die Aggregation zu konfigurieren, gehen Sie zu den Einstellungen des Connectors, Kapitel ‚Feldbasierte Aggregation‘.
Parameter festlegen:Zeitintervall. Für wie viele Sekunden der Connector dieselben Ereignisse gruppieren soll. Es wird nicht empfohlen, die Zeit auf mehr als 30 Sekunden einzustellen, da für diese Zeit die Ereignisse vom Connector zurückgehalten werden und infolgedessen mit Verzögerung an das Ziel geliefert werden.Ereignisschwelle. Wie viele Ereignisse innerhalb des Zeitfensters aggregiert werden sollen. Legen Sie die Anzahl der zu aggregierenden Ereignisse fest. Der Connector wird diese Menge ähnlicher Ereignisse zu einem zusammenfassen.Feldnamen. Definiert Felder, die denselben Wert für die Aggregation haben sollen. Wählen Sie alle Felder aus, die Sie in der ArcSight-Datenbank speichern müssen. Alle anderen Felder, die nicht in der Aggregationsfeldliste definiert sind, gehen verloren, achten Sie daher darauf.Felder zum Summieren. Wählen Sie numerische Felder aus, die Sie summieren möchten. Meistens sind dies die Felder ‚Eingehende Bytes‘ und ‚Ausgehende Bytes‘.Gemeinsame Felder beibehalten. Setzen Sie ‚ja‘, wenn Sie andere Felder im aggregierten Ereignis speichern möchten (wenn sie üblich sind).

Ereignisse filtern

Die zweite Option zur Optimierung der EPS ist das Herausfiltern unnötiger Ereignisse auf dem Connector. Diese Option ermöglicht es Ihnen, Ereignisse auszuschließen, die auf Connector-Ebene nicht wichtig sind, sodass Sie Ihre Protokollquellen nicht ändern müssen.
Es ist praktischer, es über die ArcSight-Konsole im Connector-Einstellungs-Tab Standard, Untertab Filter zu konfigurieren. Hier können Sie den Filter für die Ereignisse festlegen, die Sie nicht an das ESM senden möchten. Beachten Sie, dass Sie hier Ereignisse herausfiltern, also wenn Sie nicht möchten, dass der Connector die Windows-Ereignis-ID 5156 sendet: ‚Die Windows-Filterplattform hat eine Verbindung zugelassen‘, müssen Sie den Filter wie im Screenshot gezeigt hinzufügen:Falls Sie nur bestimmte Ereignisse senden möchten (eine Whitelist von Ereignissen erstellen), müssen Sie eine Negation zum Filter hinzufügen. Wenn Sie beispielsweise nur erfolgreiche und fehlgeschlagene Anmeldungen senden möchten (Ereignis-IDs 4624 und 4625), müssen Sie den Filter wie im unten gezeigten Screenshot konfigurieren. Wenn Sie dies tun, werden nur diese Ereignisse an das ESM gesendet.Aber was, wenn Sie Ereignisse zu einem nicht ESM-Ziel herausfiltern müssen. Sie können dies im Connector-Einstellungsmenü im Format ‚deviceEventClassId EQ „Microsoft-Windows-Security-Auditing:5156“ ‘ (ohne Anführungszeichen) konfigurieren. Im zweiten Fall, wenn Sie nur Ereignisse mit der ID 4624 und 4625 senden müssen, sollte der Filter folgendermaßen aussehen: ‚ Nicht (deviceEventClassId EQ „Microsoft-Windows-Security-Auditing:4624“ Oder deviceEventClassId EQ „Microsoft-Windows-Security-Auditing:4625″)‘
Falls Sie einen komplizierten Filter für nicht ESM-Ziel konfigurieren müssen, empfehle ich, ihn zuerst aus der ESM-Konsole zu konfigurieren und zu testen und erst dann aus der Connector-Zielkonfiguration .xml-Datei im /current/user/agent/ Ordner zu kopieren (Name sieht aus wie 312jhSFgBABCV2Sp8uG1sLA==.xml). Sie müssen die Zeichenkette finden:
zonebasedfiltering.zonedefinition=“ Nicht (deviceEventClassId EQ „Microsoft-Windows-Security-Auditing:4624“ Oder deviceEventClassId EQ „Microsoft-Windows-Security-Auditing:4625″)“

Durch die Verwendung von Aggregation zusammen mit der Filterung von Ereignissen können Sie Ihre eingehende EPS-Rate optimieren und erheblich reduzieren. Aber seien Sie vorsichtig, eine unbedachte Verwendung dieser Parameter kann zum Verlust wichtiger Daten führen.

Wenn Sie daran interessiert sind, die ArcSight-Betriebe zu verbessern, lesen Sie auch den Artikel IT-Feeds in ArcSight ohne falsche positive Auslöser liefern.