Jeder ArcSight-Benutzer oder Administrator steht vor der Herausforderung, falsche positive Regeltriggers zu erleben, während er einen Bedrohungsnachrichten-Feed in ArcSight einspeist.
Dies geschieht meist, wenn Ereignisse aus Bedrohungsquellen nicht von der Regelbedingung ausgeschlossen werden oder der Connector versucht, alle verarbeiteten IP-Adressen und Hostnamen aufzulösen.
Die Einhaltung dieser einfachen Regeln hilft Ihnen, falsche positive Korrelationen zu vermeiden:
- Installieren Sie einen separaten Syslog SmartConnector für alle TI-Feeds. Dies ist für alle Bedrohungsnachrichten-Feeds relevant, die IOCs in CEF-Ereignissen über Syslog senden.
- Installieren Sie einen separaten File Reader SmartConnector (zum Beispiel für CSV-Dateien). Dies ist relevant für IOCs in CSV-Dateien.
- Schalten Sie ‚Namensauflösung‚ auf Syslog/File Reader SmartConnector für Bedrohungsnachrichten-Feeds aus. Wenn die Option ‚Namensauflösung aktivieren‚ auf ‚Yes‚ oder ‚Nur Quelle/Ziel‚ gesetzt ist, versucht der Connector, alle Hostnamen in IP-Adressen und IP-Adressen in Hostnamen im Quell-/Ziel-Feld aufzulösen. Wenn Sie mehrere Active Directory-Controller in Ihrem Netzwerk haben, kann dies zahlreiche DNS-Anfragen für bösartige Hosts von jedem Domain-Controller verursachen.
Außerdem kann der Connector versuchen, den NETBIOS-Namen des Hosts bei der Auflösung abzurufen, und Sie erhalten ein Ereignis auf Ihrer Firewall, dass der Server, auf dem der Bedrohungsnachrichten-Feed SmartConnector installiert ist, versucht, einen ’schlechten‘ Host auf Port 137 zu erreichen.
- Schließen Sie Ereignisse vom Bedrohungsnachrichten-Feed SmartConnector in Regeln aus. Sie können jeder Regel eine Bedingung hinzufügen, beispielsweise: ‚Agentenname != TI-Connector-Name‚.
Als Ergebnis erhalten Sie viele überflüssige Ereignisse, die falsche positive Regeltriggers verursachen.
Um die Option ‚Namensauflösung‚ an einem Connector zu deaktivieren, gehen Sie zu:
- In der ESM-Konsole: Doppelklicken Sie auf den Connector. Öffnen Sie im ‚Inspektieren/Bearbeiten‚-Panel die Registerkarte ‚Standardwerte‚ und wählen Sie ‚Namensauflösung aktivieren‚ im Abschnitt ‚Netzwerk‚ – ‚No‚. Klicken Sie auf ‚Übernehmen‚.
- Am Connector: Führen Sie den Befehl ‚%CONNECTORHOME%/current/bin/./runagentsetup.sh‚ unter Linux oder führen Sie die Datei ‚%CONNECTORHOME%currentbinrunagentsetup.bat‚ unter Windows aus. Wählen Sie ‚Connector ändern’ -> ‘Ziel hinzufügen, ändern oder entfernen‚ -> Ziel wählen -> ‚Zieleinstellungen ändern‚ -> ‚Netzwerk‚ -> ‚Namensauflösung aktivieren‚ auf ‚No‚.
- Beenden Sie die Connector-Konfiguration und starten Sie den Connector-Dienst neu.
In allen Use Cases von SOC Prime sind TI-Quellenereignisse in den Hauptfiltern ausgeschlossen.
