ArcSight. Optimización de EPS (Agregación y Filtración)

Casi todos los principiantes de ArcSight enfrentan una situación en la que hay un alto EPS entrante de las fuentes de registro, especialmente cuando es crítico para los límites de licencia o causa problemas de rendimiento.

Para reducir el EPS entrante, ArcSight tiene dos métodos nativos para el procesamiento de eventos: Agregación de Eventos y Filtrado. En este artículo, intentaré explicar cómo optimizar el EPS entrante usando estas dos opciones.

Agregación de Eventos

La primera y más efectiva opción es la Agregación en conectores. La agregación permite agregar muchos eventos similares en un solo evento; es como una compresión inteligente. Puede agregar hasta 10,000 eventos en un solo evento; esto significa que puedes reducir el EPS entrante hasta 10,000 veces. Veamos cómo funciona.
El firewall envió 3 eventos similares a ArcSight:
Resultado=Permitir, IP de Origen=x.x.x.x, Puerto de Origen=xx, IP de Destino=y.y.y.y, Puerto de Destino=yy
Resultado=Denegar, IP de Origen=x.x.x.x, Puerto de Origen=xx, IP de Destino=z.z.z.z, Puerto de Destino=zz
Resultado=Permitir, IP de Origen=x.x.x.x, Puerto de Origen=xx, IP de Destino=y.y.y.y, Puerto de Destino=yy
Aquí vemos que el 1º y el 3º eventos son iguales, y en este caso el conector con agregación habilitada combinará el 1º y el 3º eventos en un solo evento con el campo:
Resultado=Permitir, IP de Origen=x.x.x.x, Puerto de Origen=xx, IP de Destino=y.y.y.y, Puerto de Destino=yy Conteo de Eventos Agregados=2.Para configurar la Agregación, ve al capítulo de configuración del Conector ‘Agregación Basada en Campos’.
Establecer parámetros:Intervalo de Tiempo. Por cuántos segundos el conector debe agrupar los mismos eventos. No se recomienda establecer un tiempo de más de 30 segundos, ya que durante este tiempo los eventos serán retenidos por el conector y como resultado, se entregarán al Destino con retraso.Umbral de Eventos. Cuántos eventos deben ser agregados dentro de la ventana de tiempo. Establece la cantidad de eventos a agregar. El conector agrupará esta cantidad de eventos similares en uno.Nombres de Campos. Define campos que deben tener el mismo valor para la agregación. Elige todos los campos que necesitas guardar en la base de datos de ArcSight. Todos los demás campos que no estén definidos en la lista de campos de agregación se perderán, así que presta atención a esto.Campos para Sumar. Elige los campos numéricos que deseas sumar. Con más frecuencia estos son los campos ‘Bytes Entrantes’ y ‘Bytes Salientes’.Preservar Campos Comunes. Configura ‘sí’ si deseas guardar otros campos en el evento agregado (si son comunes).

Filtrado de Eventos

La segunda opción para optimizar el EPS es Filtrar eventos innecesarios en el conector. Esta opción te permite descartar eventos que no son importantes a nivel de conector, por lo que no necesitas modificar tus fuentes de registro.
Es más conveniente configurarlo desde la Consola de ArcSight en Configuración de Conectores, pestaña Predeterminado, subpestaña Filtros. Aquí puedes configurar el filtro para los eventos que no deseas que lleguen a ESM. Nota que filtras eventos AQUÍ, así que si no deseas que el conector envíe el ID de Evento de Windows 5156: ‘La Plataforma de Filtrado de Windows ha permitido una conexión’ necesitas agregar el filtro como se muestra en la captura de pantalla:En caso de que desees enviar solo eventos específicos (crear una lista blanca de eventos), necesitas agregar negociación al filtro. Por ejemplo, deseas enviar solo inicios de sesión Exitosos y Fallidos (IDs de Eventos 4624 y 4625), así que necesitas configurar el filtro como se muestra en la captura de pantalla a continuación. Si lo haces, solo estos eventos serán enviados a ESM.Pero qué pasa si necesitas filtrar eventos hacia otro destino que no sea ESM. Puedes configurar esto en el menú Configuración del Conector en el formato ‘deviceEventClassId EQ «Microsoft-Windows-Security-Auditing:5156″’ (sin comillas). En el segundo caso, cuando necesitas enviar solo Eventos con Id 4624 y 4625 el filtro debería ser similar a este: ‘Not (deviceEventClassId EQ «Microsoft-Windows-Security-Auditing:4624» Or deviceEventClassId EQ «Microsoft-Windows-Security-Auditing:4625»)’
En caso de que necesites configurar un filtro complicado hacia otro destino, recomiendo configurarlo y probarlo primero desde la consola de ESM y solo después de eso copiarlo del archivo .xml de configuración del destino del Conector en /current/user/agent/ carpeta (el nombre parece 312jhSFgBABCV2Sp8uG1sLA==.xml). Necesitas encontrar la cadena:
zonebasedfiltering.zonedefinition=»Not (deviceEventClassId EQ «Microsoft-Windows-Security-Auditing:4624» Or deviceEventClassId EQ «Microsoft-Windows-Security-Auditing:4625″)»

Usando la agregación junto con el filtrado de eventos, puedes optimizar y reducir significativamente tu tasa de EPS entrante. Pero ten cuidado, un uso inconsiderado de estos parámetros puede llevar a la pérdida de datos importantes.

Si estás interesado en mejorar las operaciones de ArcSight, también lee el artículo Entregar fuentes de TI en ArcSight sin activar falsos positivos.