Entregar feeds de TI en ArcSight sin disparadores de falsos positivos

Cada usuario o administrador de ArcSight se enfrenta a disparadores falsos positivos de reglas mientras integra el feed de inteligencia de amenazas en ArcSight.
Esto sucede principalmente cuando los eventos de la fuente de inteligencia de amenazas no están excluidos de la condición de la regla o cuando el conector intenta resolver todas las direcciones IP y nombres de host que son procesados.

Adherirse a estas simples reglas te permitirá evitar correlaciones de falsos positivos:

1. Instalar un Syslog SmartConnector separado para todos los feeds de TI. Esto es relevante para todos los feeds de inteligencia de amenazas que envían IOCs en eventos CEF a través de syslog.
2. Instalar un File Reader SmartConnector separado (por ejemplo, para archivos CSV). Esto es relevante para IOCs en archivos CSV.
3. Apagar ‘Resolución de Nombres’ en el Syslog/File Reader SmartConnector para los feeds de inteligencia de amenazas. Si la opción ‘Habilitar Resolución de Nombres’ está configurada como ‘Yes’ o ‘Solo Fuente/Destino’, el conector intenta resolver todos los nombres de host en direcciones IP y las direcciones IP en nombres de host en los campos de Fuente/Destino. Si tienes varios controladores de Active Directory en tu red, esto puede causar muchas solicitudes DNS para hosts maliciosos desde cada controlador de dominio.
   Además, el conector puede intentar obtener el nombre NETBIOS del host mientras resuelve y recibirás un evento en tu firewall indicando que el servidor, donde está instalado el SmartConnector de feed de inteligencia de amenazas, está intentando alcanzar al host ‘malo’ en el puerto 137.
4. Excluir eventos del SmartConnector de feed de inteligencia de amenazas en las reglas. Puedes agregar una condición a cada regla, por ejemplo: ‘Nombre del Agente != Nombre del Conector TI’.

Como resultado, obtienes muchos eventos excesivos que causan disparadores de reglas falsos positivos.

Para desactivar la opción ‘Resolución de Nombres’ en un conector, ve a:

• En la Consola ESM: haz doble clic en el conector. En el panel ‘Inspeccionar/Editar’ abre la pestaña ‘Predeterminados’ y elige ‘Habilitar Resolución de Nombres’ en la sección ‘Red’ – ‘No’. Haz clic en ‘Aplicar’.
• En el conector: ejecuta el comando ‘%CONNECTORHOME%/current/bin/./runagentsetup.sh’ en Linux o ejecuta el archivo ‘%CONNECTORHOME%currentbinrunagentsetup.bat’ en Windows. Elige ‘Modificar Conector’ -> ‘Agregar, modificar o eliminar destino’ -> elige destino -> ‘Modificar configuración de destino’ -> ‘Red’ -> ‘Habilitar Resolución de Nombres’ configurar como ‘No’.
• Finalizar la configuración del conector y reiniciar el servicio del conector.

En todos los Casos de Uso de SOC Prime, los eventos de fuente de TI están excluidos en los filtros principales.