Historische Korrelation

[post-views]
Juli 28, 2017 · 3 min zu lesen
Historische Korrelation

Was, wenn ich einen neuen Use Case bereitgestellt oder entworfen habe und wissen möchte, ob mein Unternehmen in der Vergangenheit der Bedrohung ausgesetzt war?

Während der Arbeit mit ArcSight fragen sich viele Leute, ob es eine Möglichkeit gibt, eine historische Korrelation zu realisieren. Sie haben sogar mehrere reale Szenarien dafür. Das erste sind gebündelte Ereignisse, z.B. Ereignisse kommen nicht in Echtzeit zum ESM, sondern einmal pro Zeitrahmen (einmal pro Stunde, einmal pro Tag usw.). Das zweite ist die Anwendung von Korrelation auf historische Daten, um Maßnahmen nicht nur bei zukünftigen Vorkommnissen, sondern auch in der Vergangenheit zu ergreifen. Das dritte ist die Möglichkeit, Regeln zu geforderten Zeiten laufen zu lassen, z.B. ’nicht-kritische‘ Regeln nach Geschäftsschluss auszuführen, um die Korrelationsmaschine zu entlasten.

ArcSight ESM hat die Fähigkeit, all diese Aufgaben auszuführen. Es wird Geplante Regeln genannt.

Geplante Regeln sind eine nützliche Alternative zu Echtzeitregeln in Situationen, in denen Sie Regeln bereitstellen möchten, die historische Daten zusammen mit Live-Daten berücksichtigen, oder wenn Sie nur steuern möchten, wann die Regeln ausgeführt werden. Der Motor für geplante Regeln kann historische Daten verarbeiten, reale Maßnahmen ergreifen und korrelierte Ereignisse generieren, die denjenigen entsprechen, die vom Echtzeitregel-Motor generiert werden.

Wie plant man eine Regel? Sie können nicht eine einzelne Regel, sondern eher eine Regelgruppe planen. Um eine oder mehrere Regeln zu planen, platzieren Sie sie in einem Ordner.Um eine Regelgruppe zu planen, müssen Sie:

  1. Gehen Sie zu den Ressourcen ‚Regeln‘ im Navigator.
  2. Wählen Sie eine Regelgruppe aus, klicken Sie mit der rechten Maustaste darauf und wählen Sie aus dem Kontextmenü ‚Regelgruppe planen‘ aus. (Wenn erforderliche Regeln nicht in einer Gruppe sind, erstellen Sie eine neue Regelgruppe, verlinken oder verschieben Sie Regeln dorthin).
  3. Fügen Sie einen Job hinzu, benennen und beschreiben Sie ihn. Geben Sie einen Zeitplan an, nach dem die Regelgruppe ausgeführt werden soll, indem Sie am unteren Rand auf ‚Hier klicken, um die Planungsfrequenz einzurichten‘ klicken.
  4. Geben Sie einen Filter für diese Regeln an. Standardmäßig ist der Filter auf Alle Ereignisse gesetzt. Klicken Sie auf Filterergebnisse, um den Filter zu verfeinern, sodass nur für die Regel relevante Ereignisse angezeigt werden. Eine Eingrenzung des Filters optimiert die Leistung, wenn die Regel ausgeführt wird.
  5. Klicken Sie auf Anwenden oder OK zum Bereitstellen.

Die Regeln werden gemäß dem im Regelgruppen-Editor auf der Registerkarte Jobs angegebenen Zeitplan bereitgestellt und ausgelöst, wenn die Regelbedingungen erfüllt sind.

Ein Punkt, den Sie im Hinterkopf behalten sollten, betrifft den Jobfrequenz-Editor und Zeitparameter.Beim ersten Lauf wird die Regel alle Ereignisse ab dem ‚Start‘-Zeitstempel bis $Now (Ausführungszeit) auswerten. Bei den nächsten Läufen werden nur Ereignisse vom letzten Lauf bis $Now beobachtet.

Jetzt sind Sie bereit, die kompliziertesten und anspruchsvollsten Szenarien anzuwenden.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Sigma-Regeln Handbuch für ArcSight
Blog, Sigma — 5 min zu lesen
Sigma-Regeln Handbuch für ArcSight
Jordan Camba
ArcSight. Optimierung von EPS (Aggregation und Filterung)
Blog, SIEM & EDR — 4 min zu lesen
ArcSight. Optimierung von EPS (Aggregation und Filterung)
Aleks Bredikhin
Veranstaltungen mit zusätzlichen Daten anreichern
Blog, SIEM & EDR — 3 min zu lesen
Veranstaltungen mit zusätzlichen Daten anreichern
Ruslan Mihalev