ArcSight. Optimisation des EPS (Agrégation et Filtration)

Presque tous les débutants sur ArcSight font face à une situation où il y a un nombre élevé d’EPS entrant provenant des sources de journaux, surtout lorsque cela critique les limites de licence ou cause des problèmes de performance.

Pour réduire l’EPS entrant, ArcSight dispose de deux méthodes natives pour le traitement des événements : l’Agrégation des Événements et la Filtration. Dans cet article, je vais essayer d’expliquer comment optimiser l’EPS entrant en utilisant ces deux options.

Agrégation des Événements

La première et la plus efficace option est l’Agrégation sur les connecteurs. L’agrégation permet de regrouper un grand nombre d’événements similaires en un seul événement ; c’est comme une compression intelligente. Elle peut agréger jusqu’à 10 000 événements en un seul événement, ce qui signifie que vous pouvez réduire l’EPS entrant jusqu’à 10 000 fois. Voyons comment cela fonctionne.
Firewall a envoyé 3 événements similaires à ArcSight :
Résultat=Autoriser, IP Source=x.x.x.x, Port Source=xx, IP Destination=y.y.y.y, Port Destination=yy
Résultat=Refuser, IP Source=x.x.x.x, Port Source=xx, IP Destination=z.z.z.z, Port Destination=zz
Résultat=Autoriser, IP Source=x.x.x.x, Port Source=xx, IP Destination=y.y.y.y, Port Destination=yy
Ici, on voit que le 1er et le 3ème événements sont identiques, et dans ce cas, le Connecteur avec l’agrégation activée combinera le 1er et le 3ème événements en un seul événement avec le champ :
Résultat=Autoriser, IP Source=x.x.x.x, Port Source=xx, IP Destination=y.y.y.y, Port Destination=yy Nombre d’Événements Agrégés=2.Pour configurer l’Agrégation, allez dans le chapitre des paramètres du Connecteur ‘Agrégation Basée sur les Champs’.
Paramétrez les paramètres :Intervalle de Temps. Combien de secondes le connecteur doit-il grouper les mêmes événements. Il n’est pas recommandé de définir un temps supérieur à 30 secondes, car pendant ce temps les événements seront retenus par le connecteur et en conséquence, seront livrés à la Destination avec un retard.Seuil d’Événements. Combien d’événements doivent être agrégés dans la fenêtre temporelle. Définissez le nombre d’événements à agréger. Le connecteur regroupera ce nombre d’événements similaires en un.Noms de Champs. Définit les champs qui doivent avoir la même valeur pour l’agrégation. Choisissez tous les champs que vous devez sauvegarder dans la base de données ArcSight. Tous les autres champs non définis dans la liste des champs d’agrégation seront perdus, donc faites attention à cela.Champs à Additionner. Choisissez les champs numériques que vous souhaitez additionner. Le plus souvent, ce sont les champs ‘Octets Entrants’ et ‘Octets Sortants’.Préserver les Champs Communs. Réglez sur ‘oui’ si vous voulez conserver d’autres champs dans l’événement agrégé (s’ils sont communs).

Filtrage des Événements

La deuxième option pour optimiser l’EPS est de filtrer les événements non nécessaires sur le connecteur. Cette option vous permet d’écarter les événements qui ne sont pas importants au niveau du connecteur, de sorte que vous n’avez pas besoin de modifier vos sources de journaux.
Il est plus pratique de le configurer à partir de la Console ArcSight dans le Réglage du Connecteur, onglet Défaut, sous-onglet Filtres. Ici, vous pouvez définir le filtre pour les événements que vous ne voulez pas voir arriver à ESM. Notez que vous filtrez ici les événements, donc si vous ne voulez pas que le connecteur envoie l’ID d’Événement Windows 5156 : « La plateforme de filtrage Windows a autorisé une connexion », vous devez ajouter le filtre comme montré dans la capture d’écran :Dans le cas où vous souhaitez n’envoyer que des événements spécifiques (créer une liste blanche d’événements), vous devez ajouter une négociation au filtre. Par exemple, vous souhaitez uniquement envoyer les connexions réussies et échouées (ID d’Événements 4624 et 4625), alors vous devez configurer le filtre comme montré dans la capture d’écran ci-dessous. Si vous le faites, seuls ces événements seront envoyés à ESM.Mais que faire si vous devez filtrer les événements vers une destination autre qu’ESM. Vous pouvez configurer cela dans le menu Réglage du Connecteur au format ‘deviceEventClassId EQ « Microsoft-Windows-Security-Auditing:5156 » ’ (sans les guillemets). Dans le deuxième cas, lorsque vous devez envoyer uniquement des Événements avec l’Id 4624 et 4625, le filtre devrait être similaire à ceci : ‘ Not (deviceEventClassId EQ « Microsoft-Windows-Security-Auditing:4624 » Or deviceEventClassId EQ « Microsoft-Windows-Security-Auditing:4625″)’
Dans le cas où vous devez configurer un filtre compliqué pour ne pas envoyer vers une destination ESM, je recommande de le définir et le tester d’abord depuis la console ESM et seulement après cela, de le copier depuis le fichier de configuration de destination du Connecteur .xml dans le dossier /current/user/agent/ (le nom ressemble à 312jhSFgBABCV2Sp8uG1sLA==.xml). Vous devez trouver la chaîne :
zonebasedfiltering.zonedefinition= » Not (deviceEventClassId EQ « Microsoft-Windows-Security-Auditing:4624 » Or deviceEventClassId EQ « Microsoft-Windows-Security-Auditing:4625″) »

En utilisant l’agrégation associée au filtrage des événements, vous pouvez optimiser et réduire de manière significative votre taux d’EPS entrant. Mais soyez prudent, une utilisation inconsidérée de ces paramètres peut entraîner la perte de données importantes.

Si vous êtes intéressé par l’amélioration des opérations ArcSight, lisez également l’article Fournissez des flux IT dans ArcSight sans déclencheurs de faux positifs.