Enriqueciendo eventos con datos adicionales

En el artículo anterior, examinamos Campos de Datos Adicionales y cómo utilizarlos. Pero, ¿qué pasa si los eventos no tienen la información necesaria incluso en los Campos de Datos Adicionales?

Siempre puedes enfrentar la situación en la que los eventos en ArcSight no contienen toda la información necesaria para los analistas. Por ejemplo, ID de usuario en lugar de nombre de usuario, ID de host en lugar de nombre de host, etc.

Ciertamente, puedes salir de esta situación utilizando la Lista Activa en análisis y agregar los datos necesarios al evento de alerta/correlación. Pero las cosas son un poco peores en cuanto a la búsqueda e investigación de eventos, porque los eventos todavía contienen solo identificaciones.
Por lo tanto, necesitamos una función para enriquecer los eventos antes de que se ingresen a la base de datos de ArcSight. Adivina qué, ArcSight tiene una forma de hacer esto. Incluso varias formas. Y trataré de describirlas todas.

Imaginemos que tenemos una fuente de eventos, el Sistema de Acceso Físico (PAS), y por defecto los eventos de esta fuente solo tienen ID de Usuario y no Nombres de Usuario.
Y incluso para un caso de uso simple que nos notifica sobre la autenticación exitosa en el controlador de dominio para el empleado que no está físicamente en el edificio, necesitamos nombres de usuario en los eventos de PAS.

Enriqueciendo eventos con reglas de pre-persistencia

La primera forma es utilizar reglas de pre-persistencia.
Las reglas de pre-persistencia incluyen un pequeño conjunto de características para habilitar el análisis básico de eventos y la configuración de varios campos de eventos, enriqueciendo así estos eventos base, antes de que los propios eventos se persistan en la base de datos.
El escenario de uso general sería:

1. Crear Lista Activa con coincidencias de ID de Usuario a Nombre de Usuario. Con ID de Usuario como campo clave.
2. Crear regla de pre-persistencia. Definir Condiciones, en nuestro caso eventos de PAS. Ir a Variables Locales y crear la variable GetActiveListValue. Especificar la Lista Activa del paso 1, seleccionar el campo que contiene el ID de usuario (supongamos ID de Usuario de Destino). Esta variable obtiene el Nombre de Usuario correspondiente al ID de Usuario de la Lista Activa.
3. Ir a la pestaña de Acciones y en el desencadenador ‘En Cada Evento’ agregar la acción ‘Establecer Campo de Evento’. Queremos que el campo Nombre de Usuario de Destino sea enriquecido con el Nombre de Usuario de la Lista Activa. Así que selecciona la variable recién creada (del paso 2) junto al campo Nombre de Usuario de Destino. Por lo tanto, la acción debería verse de la siguiente manera:
4. Guardar regla. Desplegar esta regla como Reglas en Tiempo Real.

Todos los nuevos eventos serán enriquecidos con nombres de usuario de la Lista Activa.
Este escenario tiene un punto que debes tener en cuenta. Esa es la Lista Activa actualizada con información fresca.
Los eventos con el ID de usuario que no tienen un nombre de usuario coincidente en la Lista Activa tendrán el campo Nombre de Usuario de Destino en blanco.

En este artículo, tuvimos una visión de una de las varias formas de enriquecer los eventos de ArcSight con los datos necesarios para crear casos de uso eficientes y ahorrar esfuerzo durante una investigación.

En la próxima parte de este artículo, daré otras dos formas de lograr este desafío.
Mantente en contacto. Mantente seguro.