Correlación Histórica

¿Qué pasa si implemento o diseño un nuevo Caso de Uso y quiero saber si mi empresa estuvo expuesta a la amenaza en el pasado?

Mientras trabajaba con ArcSight, muchas personas se preguntan si hay una forma de realizar correlación histórica. Incluso tienen varios escenarios de la vida real para esto. El primero son los eventos por lotes, por ejemplo, los eventos no llegan a ESM en tiempo real, sino una vez por cierto período (una vez por hora, una vez al día, etc.). El segundo es aplicar correlación a datos históricos, por ejemplo, tomar acciones no solo sobre sucesos futuros sino también en el pasado. El tercero es la capacidad de ejecutar reglas en el tiempo requerido, por ejemplo, ejecutar reglas ‘no críticas’ después del horario laboral para descargar el motor de correlación.

ArcSight ESM tiene la capacidad de realizar todas esas tareas. Se llama Reglas Programadas.

Las Reglas Programadas son una alternativa útil a las reglas en tiempo real en situaciones donde se desea desplegar reglas que tomen en cuenta datos históricos junto con datos en vivo, o cuando simplemente se desea controlar cuándo se ejecutan las reglas. El motor de reglas programadas puede procesar datos históricos, tomar acciones reales y generar eventos correlacionados, que son los mismos que los generados por el motor de reglas en tiempo real.

¿Cómo programar una regla? No se puede programar una sola regla, sino más bien un grupo de reglas. Para programar una o más reglas, colóquelas en una carpeta.Para programar un grupo de reglas, necesitas:

1. Ir a los recursos de Reglas en el Navegador.
2. Seleccionar un grupo de reglas, hacer clic derecho y elegir Programar Grupo de Reglas desde el menú contextual. (Si las reglas requeridas no están en un grupo, crear un nuevo grupo de reglas, vincular o mover las reglas a él).
3. Agregar un trabajo, nombrarlo y describirlo. Especificar un horario en el que se ejecutará el grupo de reglas haciendo clic en ‘Haga clic aquí para configurar la frecuencia de programación’ en la parte inferior.
4. Especificar un filtro para estas reglas. Por defecto, el filtro está configurado para Todos los Eventos. Haz clic en Filtrar Resultados para refinar el filtro y mostrar solo los eventos relevantes a la regla. El estrechamiento del filtro optimiza el rendimiento cuando se ejecuta la regla.
5. Haz clic en Aplicar o Aceptar para desplegar.

Las reglas se despliegan según el horario especificado en el editor del Grupo de Reglas en la pestaña Trabajos y se activan si se cumplen las condiciones de la regla.

Una cosa que debes tener en cuenta con respecto al editor de Frecuencia de Trabajo y parámetros de tiempo.En la primera ejecución, la regla evaluará todos los eventos desde la marca de tiempo ‘Inicio’ hasta $Ahora (tiempo de ejecución). En las siguientes ejecuciones, solo se observarán eventos desde la última ejecución hasta $Ahora.

Ahora estás listo para aplicar los escenarios más complicados y sofisticados.