Corrélation Historique

Que faire si j’ai déployé ou conçu un nouveau cas d’utilisation et je veux savoir si mon entreprise a été exposée à la menace dans le passé?

Dans ArcSight, beaucoup de personnes se demandent s’il existe un moyen de réaliser une corrélation historique. Ils ont même plusieurs scénarios réels pour cela. Le premier est les événements par lots, par exemple les événements ne parviennent pas à ESM en temps réel mais plutôt une fois par intervalle de temps (une fois par heure, une fois par jour, etc.). Le deuxième est l’application de la corrélation aux données historiques, par exemple pour prendre des mesures non seulement sur les occurrences futures mais aussi dans le passé. Le troisième est la capacité de lancer des règles à des moments requis, par exemple pour exécuter des règles ‘non critiques’ après les heures de bureau pour décharger le moteur de corrélation.

ArcSight ESM a la capacité de faire toutes ces tâches. Cela s’appelle des règles planifiées.

Les règles planifiées sont une alternative utile aux règles en temps réel dans des situations où vous souhaitez déployer des règles qui tiennent compte des données historiques en plus des données en direct, ou lorsque vous souhaitez seulement contrôler le moment où les règles sont exécutées. Le moteur de règles planifiées peut traiter les données historiques, prendre des mesures réelles et générer des événements corrélés, qui sont les mêmes que ceux générés par le moteur de règles en temps réel.

Comment programmer une règle? Vous ne pouvez pas planifier une seule règle mais plutôt un groupe de règles. Pour planifier une ou plusieurs règles, placez-les dans un dossier.Pour planifier un groupe de règles, vous devez :

1. Aller aux ressources de règles dans le Navigateur.
2. Sélectionnez un groupe de règles, cliquez avec le bouton droit et choisissez Planifier le Groupe de Règles dans le menu contextuel. (Si les règles requises ne sont pas dans un groupe, créez un nouveau groupe de règles, liez ou déplacez les règles dedans).
3. Ajoutez un travail, nommez-le et décrivez-le. Spécifiez un calendrier pour exécuter le groupe de règles en cliquant sur ‘Cliquez ici pour configurer la fréquence du calendrier’ en bas.
4. Spécifiez un filtre pour ces règles. Par défaut, le filtre est défini sur Tous les Événements. Cliquez sur Filtrer les Résultats pour affiner le filtre afin d’afficher uniquement les événements pertinents pour la règle. Restreindre le filtre optimise la performance lors de l’exécution de la règle.
5. Cliquez sur Appliquer ou OK pour déployer.

Les règles sont déployées selon le calendrier spécifié dans l’éditeur de Groupe de Règles sous l’onglet Travaux et sont déclenchées si les conditions de la règle sont remplies.

Une chose à garder à l’esprit concernant l’éditeur de Fréquence de Travail et les paramètres temporels.Lors de la première exécution, la règle évaluera tous les événements à partir du timestamp ‘Début’ jusqu’à $Now (temps d’exécution). Lors des prochaines exécutions, seuls les événements du dernier passage jusqu’à $Now seront observés.

Vous êtes maintenant prêt à appliquer les scénarios les plus compliqués et sophistiqués.