Enrichir les événements avec des données supplémentaires

Dans l’article précédent, nous avons examiné champs de données supplémentaires et comment les utiliser. Mais que faire si les événements ne contiennent pas les informations nécessaires/mêmes requises, même dans les champs de données supplémentaires ?

Vous pouvez toujours vous retrouver dans une situation où les événements dans ArcSight ne contiennent pas toutes les informations nécessaires pour les analystes. Par exemple, ID utilisateur au lieu de nom d’utilisateur, ID d’hôte au lieu de nom d’hôte, etc.

Bien sûr, vous pouvez vous sortir de cette situation en utilisant Active List en analytique et ajouter les données requises à l’alerte/l’événement de corrélation. Mais la situation est un peu pire en ce qui concerne la recherche d’événements et l’investigation, car les événements ne contiennent toujours que des identifiants.
Ainsi, nous avons besoin d’une fonctionnalité pour enrichir les événements avant qu’ils ne soient ingérés dans la base de données ArcSight. Devinez quoi, ArcSight a trouvé un moyen de le faire. Même plusieurs façons. Et je vais essayer de les décrire toutes.

Imaginons que nous ayons une source d’événements, le système d’accès physique (PAS), et par défaut les événements de cette source n’ont que l’ID utilisateur et pas de noms d’utilisateur.
Et même pour un cas d’utilisation simple qui nous notifie d’une authentification réussie sur un contrôleur de domaine pour un employé qui n’est physiquement pas dans le bâtiment, nous avons besoin des noms d’utilisateur dans les événements PAS.

Enrichir les événements avec des règles de pré-persistance

La première méthode est d’utiliser des règles de pré-persistance.
Les règles de pré-persistance incluent un petit ensemble de fonctionnalités pour activer l’analyse de base des événements et la définition de divers champs d’événements, enrichissant ainsi ces événements de base, avant que les événements eux-mêmes ne soient persistés dans la base de données.
Le scénario d’utilisation général serait donc :

1. Créer une liste active avec des correspondances ID utilisateur à nom d’utilisateur. Avec ID utilisateur comme champ clé.
2. Créer une règle de pré-persistance. Définir les conditions, dans notre cas les événements PAS. Aller dans les variables locales et créer une variable GetActiveListValue. Spécifiez la liste active de l’étape 1, sélectionnez le champ qui contient l’identifiant utilisateur (supposons l’identifiant de l’utilisateur de destination). Cette variable obtient le nom d’utilisateur correspondant à l’identifiant utilisateur de la liste active.
3. Allez sur l’onglet Actions et sur ‘À chaque événement’, déclenchez l’action ‘Définir le champ d’événement’. Nous voulons que le champ Nom de l’utilisateur de destination soit enrichi avec le nom d’utilisateur de la liste active. Sélectionnez donc la variable nouvellement créée (de l’étape 2) à côté du champ Nom de l’utilisateur de destination. L’action devrait donc ressembler à ceci :
4. Enregistrer la règle. Déployez cette règle en tant que règles en temps réel.

Tous les nouveaux événements seront enrichis avec des noms d’utilisateur provenant de la liste active.
Ce scénario a un point à garder à l’esprit. C’est la mise à jour de la liste active avec des informations fraîches.
Les événements avec l’identifiant d’utilisateur qui n’ont pas de nom d’utilisateur correspondant dans la liste active auront le champ Nom de l’utilisateur de destination vide.

Dans cet article, nous avons eu un aperçu de l’une des plusieurs façons d’enrichir les événements ArcSight avec les données nécessaires pour créer des cas d’utilisation efficaces et économiser des efforts au cours d’une investigation.

Dans la prochaine partie de cet article, je donnerai deux autres moyens de relever ce défi.
Restez en contact. Restez en sécurité.