Filtrado de Eventos en IBM QRadar

Al configurar una herramienta SIEM (incluyendo IBM QRadar), los administradores a menudo toman la decisión equivocada: «Enviemos todos los registros a SIEM, y luego decidiremos qué hacer con ellos.»
Tales acciones suelen llevar a un uso enorme de la licencia, una carga de trabajo enorme en una herramienta SIEM, aparición de una cola de caché y, a veces, a la pérdida de eventos. A su vez, esto lleva a la situación en la que SIEM registra incidentes demasiado tarde o no los registra en absoluto. ¿Cómo resolver esta tarea?

La opción principal es filtrar los eventos innecesarios. Para configurar el filtrado, se requiere un análisis inicial de los datos que se entregan a la herramienta SIEM. Esto es necesario para determinar los datos que deben ser filtrados. Una vez completado el trabajo de determinación de los eventos necesarios, debe transferir la configuración a IBM QRadar.Opción 1Si los eventos de Windows se recopilan con el agente WinCollect, se pueden filtrar de la siguiente manera:Ir a ‘Admin‘ – ‘Log Sources‘. Abra la edición de la fuente de datos o cree una nueva fuente desde la cual se recopilan eventos con el agente WinCollect.En la configuración de LogSource, debe completar todos los campos requeridos y seleccionar el tipo de registros que deben ser recopilados. Seleccione el elemento ‘Exclusion Filter‘ en el menú desplegable ‘* Log Filter Type‘. En el campo ‘* Log Filter‘, especifique el filtro que cumpla con los siguientes requisitos:
1. ID de eventoEjemplo: 17,338,873-875,10242. Nombres de servicios (IDs de evento separados por comas o guiones) que desea filtrar.Ejemplo: Sysmon (1-3.6); Ossec (55,4667)

Opción 2Otra forma de filtrar eventos es el uso de ‘Routing Rules‘.
Para hacer esto, vaya a la pestaña ‘Admin‘ – ‘Routing Rules.’
Seleccione ‘Add‘.Rellene los campos requeridos – ‘Name‘, etc.
En el menú ‘Event Filters‘, especifique un filtro que se convertirá en la base para el filtrado de eventos.
Seleccione ‘Drop‘ en el menú ‘Routing Options‘.
Haga clic en ‘Save.’
Después de guardar, la regla de filtrado se verá como:Estas dos opciones para filtrar eventos le permitirán reducir significativamente el EPS, mejorar la utilización de la licencia y, por lo tanto, aumentar el ROI de su herramienta SIEM. El rendimiento y la caché de eventos en IBM QRadar se mantendrán en el nivel adecuado.

Recuerde, un filtrado excesivo puede eliminar eventos importantes del análisis y la correlación. Tenga cuidado al agregar filtros y verifique los resultados del filtrado.