Ereignisfilterung in IBM QRadar

Bei der Konfiguration eines SIEM-Tools (einschließlich IBM QRadar) treffen Administratoren oft die falsche Entscheidung: „Schicken wir alle Logs an das SIEM und schauen dann, was wir damit machen.“
Solche Maßnahmen führen meist zu enormer Lizenznutzung, hoher Arbeitslast für das SIEM-Tool, Auftreten einer Cache-Warteschlange und manchmal zum Verlust von Ereignissen. Dies führt dazu, dass das SIEM Vorfälle entweder viel zu spät oder gar nicht registriert. Wie lässt sich dieses Problem lösen?

Die primäre Option ist, unnötige Ereignisse zu filtern. Für die Konfiguration der Filterung ist eine anfängliche Analyse der Daten erforderlich, die an das SIEM-Tool übermittelt werden. Dies ist notwendig, um die Daten zu bestimmen, die herausgefiltert werden sollten. Nachdem die Arbeit zur Bestimmung der erforderlichen Ereignisse abgeschlossen ist, sollten Sie die Einstellungen an IBM QRadar übertragen.Option 1Wenn Windows-Ereignisse mit WinCollect-Agent gesammelt werden, können sie folgendermaßen gefiltert werden:Gehen Sie zu ‚Admin‚ – ‚Log Sources‚. Öffnen Sie die Datenquellenbearbeitung oder erstellen Sie eine neue Quelle, aus der Ereignisse mit dem WinCollect-Agent gesammelt werden.In den LogSource-Einstellungen müssen Sie alle erforderlichen Felder ausfüllen und den Typ der zu sammelnden Logs auswählen. Wählen Sie den Punkt ‘Exclusion Filter’ im Dropdown-Menü ‘* Log Filter Type.‘ Im Feld ‘* Log Filter,‘ geben Sie den Filter an, der folgende Anforderungen erfüllt:
1. Ereignis-IDBeispiel: 17,338,873-875,10242. Dienstnamen (Ereignis-IDs durch Kommas oder Bindestriche getrennt), die Sie filtern möchten.Beispiel: Sysmon (1-3.6); Ossec (55,4667)

Option 2Eine andere Möglichkeit der Ereignisfilterung ist die Verwendung von ‘Routing Rules.‘
Dazu gehen Sie auf die Registerkarte ‘Admin’ – ‘Routing Rules.‘
Wählen Sie ‘Add.’Füllen Sie die erforderlichen Felder aus – ‚Name‚, etc.
Im Menü ‘Event Filters’ geben Sie einen Filter an, der die Grundlage für die Ereignisfilterung bildet.
Wählen Sie ‘Drop’ im Menü ‘Routing Options’.
Klicken Sie auf ‚Save.‘
Nach dem Speichern sieht die Filterregel folgendermaßen aus:Diese beiden Optionen zur Ereignisfilterung ermöglichen es Ihnen, die EPS deutlich zu reduzieren, die Lizenznutzung zu verbessern und damit den ROI Ihres SIEM-Tools zu steigern. Die Performance und das Caching von Ereignissen in IBM QRadar bleibt auf einem angemessenen Niveau.

Denken Sie daran, dass übermäßiges Filtern wichtige Ereignisse aus der Analyse und Korrelation entfernen kann. Seien Sie vorsichtig beim Hinzufügen von Filtern und überprüfen Sie die Ergebnisse der Filterung.