TI-Feeds in ArcSight einspielen ohne Fehlalarme auszulösen

Jeder ArcSight-Benutzer oder Administrator steht vor der Herausforderung, falsche positive Regeltriggers zu erleben, während er einen Bedrohungsnachrichten-Feed in ArcSight einspeist.
Dies geschieht meist, wenn Ereignisse aus Bedrohungsquellen nicht von der Regelbedingung ausgeschlossen werden oder der Connector versucht, alle verarbeiteten IP-Adressen und Hostnamen aufzulösen.

Die Einhaltung dieser einfachen Regeln hilft Ihnen, falsche positive Korrelationen zu vermeiden:

1. Installieren Sie einen separaten Syslog SmartConnector für alle TI-Feeds. Dies ist für alle Bedrohungsnachrichten-Feeds relevant, die IOCs in CEF-Ereignissen über Syslog senden.
2. Installieren Sie einen separaten File Reader SmartConnector (zum Beispiel für CSV-Dateien). Dies ist relevant für IOCs in CSV-Dateien.
3. Schalten Sie ‚Namensauflösung‚ auf Syslog/File Reader SmartConnector für Bedrohungsnachrichten-Feeds aus. Wenn die Option ‚Namensauflösung aktivieren‚ auf ‚Yes‚ oder ‚Nur Quelle/Ziel‚ gesetzt ist, versucht der Connector, alle Hostnamen in IP-Adressen und IP-Adressen in Hostnamen im Quell-/Ziel-Feld aufzulösen. Wenn Sie mehrere Active Directory-Controller in Ihrem Netzwerk haben, kann dies zahlreiche DNS-Anfragen für bösartige Hosts von jedem Domain-Controller verursachen.
   Außerdem kann der Connector versuchen, den NETBIOS-Namen des Hosts bei der Auflösung abzurufen, und Sie erhalten ein Ereignis auf Ihrer Firewall, dass der Server, auf dem der Bedrohungsnachrichten-Feed SmartConnector installiert ist, versucht, einen ’schlechten‘ Host auf Port 137 zu erreichen.
4. Schließen Sie Ereignisse vom Bedrohungsnachrichten-Feed SmartConnector in Regeln aus. Sie können jeder Regel eine Bedingung hinzufügen, beispielsweise: ‚Agentenname != TI-Connector-Name‚.

Als Ergebnis erhalten Sie viele überflüssige Ereignisse, die falsche positive Regeltriggers verursachen.

Um die Option ‚Namensauflösung‚ an einem Connector zu deaktivieren, gehen Sie zu:

• In der ESM-Konsole: Doppelklicken Sie auf den Connector. Öffnen Sie im ‚Inspektieren/Bearbeiten‚-Panel die Registerkarte ‚Standardwerte‚ und wählen Sie ‚Namensauflösung aktivieren‚ im Abschnitt ‚Netzwerk‚ – ‚No‚. Klicken Sie auf ‚Übernehmen‚.
• Am Connector: Führen Sie den Befehl ‚%CONNECTORHOME%/current/bin/./runagentsetup.sh‚ unter Linux oder führen Sie die Datei ‚%CONNECTORHOME%currentbinrunagentsetup.bat‚ unter Windows aus. Wählen Sie ‚Connector ändern’ -> ‘Ziel hinzufügen, ändern oder entfernen‚ -> Ziel wählen -> ‚Zieleinstellungen ändern‚ -> ‚Netzwerk‚ -> ‚Namensauflösung aktivieren‚ auf ‚No‚.
• Beenden Sie die Connector-Konfiguration und starten Sie den Connector-Dienst neu.

In allen Use Cases von SOC Prime sind TI-Quellenereignisse in den Hauptfiltern ausgeschlossen.