Filtrage d’Événements dans IBM QRadar

Lors de la configuration d’un outil SIEM (y compris IBM QRadar), les administrateurs prennent souvent la mauvaise décision : « Envoyons tous les journaux à SIEM, puis nous déciderons quoi en faire. »
De telles actions mènent le plus souvent à une utilisation énorme des licences, une charge de travail énorme sur un outil SIEM, l’apparition d’une file d’attente de cache, et parfois à une perte d’événements. Cela conduit à son tour à une situation où le SIEM enregistre les incidents beaucoup trop tard ou ne les enregistre pas du tout. Comment résoudre cette tâche ?

La première option est de filtrer les événements inutiles. Pour configurer le filtrage, une analyse initiale des données qui sont livrées à l’outil SIEM est requise. Cela est nécessaire pour déterminer les données qui doivent être filtrées. Une fois le travail de détermination des événements nécessaires terminé, vous devez transférer les paramètres à IBM QRadar.Option 1Si les événements Windows sont collectés avec l’agent WinCollect, ils peuvent être filtrés comme suit :Accédez à ‘Admin‘ – ‘Sources de journaux‘. Ouvrez l’édition de source de données ou créez une nouvelle source à partir de laquelle les événements sont collectés avec l’agent WinCollect.Dans les paramètres LogSource, vous devez remplir tous les champs obligatoires et sélectionner le type de journaux à collecter. Sélectionnez l’élément ‘Filtre d’exclusion’ dans le menu déroulant ‘* Type de filtre de journal.’. Dans le champ ‘* Filtre de journal,’, spécifiez le filtre qui répond aux exigences suivantes :
1. ID d’événementExemple : 17,338,873-875,10242. Noms des services (ID d’événement séparés par des virgules ou des tirets) que vous souhaitez filtrer.Exemple : Sysmon (1-3.6); Ossec (55,4667)

Option 2Une autre façon de filtrer les événements est l’utilisation de ‘Règles de routage‘.
Pour ce faire, accédez à l’onglet ‘Admin’ – ‘Règles de routage.’
Sélectionnez ‘Add’.Remplissez les champs obligatoires – ‘Nom‘, etc.
Dans le menu ‘Événement Filtres’, spécifiez un filtre qui deviendra la base du filtrage des événements.
Sélectionnez ‘Abandonner’ dans le menu ‘Options de routage’.
Cliquez sur ‘Enregistrer.’
Après l’enregistrement, la règle de filtrage ressemblera à :Ces deux options de filtrage des événements vous permettront de réduire significativement l’EPS, d’améliorer l’utilisation des licences et donc d’augmenter le ROI de votre outil SIEM. Les performances et le cache des événements dans IBM QRadar resteront à un niveau approprié.

Souvenez-vous, un filtrage excessif peut éliminer des événements importants de l’analyse et de la corrélation. Soyez prudent lors de l’ajout de filtres et vérifiez les résultats du filtrage.