Veranstaltungen mit zusätzlichen Daten anreichern
Im vorherigen Artikel haben wir untersucht Zusätzliche Datenfelder und wie man sie verwendet. Aber was, wenn Ereignisse nicht die benötigten/erforderlichen/notwendigen Informationen selbst in den zusätzlichen Datenfeldern enthalten?
Sie können immer auf die Situation stoßen, in der Ereignisse in ArcSight nicht alle benötigten Informationen für Analysten enthalten. Zum Beispiel Benutzer-ID statt Benutzername, Host-ID statt Hostname usw.
Natürlich können Sie diese Situation lösen, indem Sie eine Aktive Liste in der Analyse nutzen und die erforderlichen Daten zum Alarm-/Korrelationsevent hinzufügen. Aber die Dinge sind etwas komplizierter, was die Ereignissuche und Untersuchung betrifft, weil Ereignisse immer noch nur IDs enthalten.
Daher benötigen wir eine Funktion, um Ereignisse zu bereichern, bevor sie in die ArcSight-Datenbank aufgenommen werden. Raten Sie mal, ArcSight hat eine Möglichkeit, dies zu tun. Sogar mehrere Möglichkeiten. Und ich werde versuchen, sie alle zu beschreiben.
Stellen wir uns vor, wir haben eine Ereignisquelle, Physisches Zugangssystem (PAS), und standardmäßig haben Ereignisse von dieser Quelle nur Benutzer-ID und keine Benutzernamen.
Und selbst für einen einfachen Anwendungsfall, der uns über eine erfolgreiche Authentifizierung am Domänencontroller für einen Mitarbeiter benachrichtigt, der sich physisch nicht im Gebäude befindet, benötigen wir Benutzernamen in den PAS-Ereignissen.
Ereignisse mit Pre-Persistence-Regeln anreichern
Der erste Weg ist die Verwendung von Pre-Persistence-Regeln.
Pre-Persistence-Regeln beinhalten eine kleine Menge an Funktionen, um eine grundlegende Ereignisanalyse und das Festlegen verschiedener Ereignisfelder zu ermöglichen, wodurch diese Basisevents angereichert werden, bevor die Ereignisse selbst in der Datenbank gespeichert werden.
Das allgemeine Nutzungsszenario wäre also:
- Erstellen Sie eine Aktive Liste mit Benutzer-ID zu Benutzernamen Übereinstimmungen. Mit Benutzer-ID als Schlüsselfeld.
- Erstellen Sie eine Pre-Persistence-Regel. Definieren Sie Bedingungen, in unserem Fall PAS-Ereignisse. Gehen Sie zu den lokalen Variablen und erstellen Sie eine GetActiveListValue-Variable. Geben Sie die aktive Liste aus Schritt 1 an, wählen Sie das Feld, das die Benutzer-ID enthält (nehmen wir an, Zielbenutzer-ID). Diese Variable erhält den Benutzernamen, der der Benutzer-ID aus der Aktive Liste entspricht.
- Gehen Sie zum Aktions-Tab und fügen Sie im ‚Bei jedem Ereignis‘-Trigger die Aktion ‚Ereignisfeld setzen‘ hinzu. Wir möchten, dass das Feld Zielbenutzername mit dem Benutzernamen aus der Aktive Liste angereichert wird. Wählen Sie also die neu erstellte Variable (aus Schritt 2) neben dem Feld Zielbenutzername aus.
Die Aktion sollte also wie folgt aussehen:
- Speichern Sie die Regel. Setzen Sie diese Regel als Echtzeit-Regeln ein.
Die Aktion sollte also wie folgt aussehen:
Alle neuen Ereignisse werden mit Benutzernamen aus der Aktive Liste angereichert.
Dieses Szenario hat einen Punkt, den Sie im Hinterkopf behalten müssen. Nämlich eine aktualisierte Aktive Liste mit frischen Informationen.
Ereignisse mit Benutzer-ID, die keinen passenden Benutzernamen in der Aktive Liste haben, werden ein leeres Zielbenutzername-Feld haben.
In diesem Artikel haben wir Einblick in eine der mehreren Möglichkeiten erhalten, ArcSight-Ereignisse mit den Daten zu bereichern, die benötigt werden, um effiziente Anwendungsfälle zu erstellen und Aufwand bei der Untersuchung zu sparen.
Im nächsten Teil dieses Artikels werde ich zwei weitere Wege vorstellen, um diese Herausforderung zu meistern.
Bleiben Sie in Verbindung. Bleiben Sie sicher.
