Fournir des flux TI dans ArcSight sans déclenchements de faux positifs

Chaque utilisateur ou administrateur d’ArcSight est confronté à des déclenchements de règles faux positifs lors de la livraison des flux de renseignements sur les menaces à ArcSight.
Cela se produit principalement lorsque les événements sources de renseignement sur les menaces ne sont pas exclus de la condition de la règle ou que le connecteur tente de résoudre toutes les adresses IP et noms d’hôte qui sont traités.

Le respect de ces règles simples vous permettra d’éviter les corrélations de faux positifs :

1. Installer un SmartConnector Syslog séparé pour tous les flux de TI. Cela est pertinent pour tous les flux de renseignements sur les menaces qui envoient des IOC dans des événements CEF via syslog.
2. Installer un SmartConnector File Reader séparé (par exemple, pour les fichiers CSV). Cela est pertinent pour les IOC dans le fichier CSV.
3. Désactivez l’option ‘Résolution des Noms’ sur le SmartConnector Syslog/File Reader pour les flux de renseignements sur les menaces. Si l’option ‘Activer la Résolution des Noms’ est définie sur ‘Yes’ ou ‘Source/Dest uniquement’, le connecteur essaie de résoudre tous les noms d’hôte en adresses IP et les adresses IP en noms d’hôte dans les champs Source/Destination. Si vous avez plusieurs contrôleurs Active Directory dans votre réseau, cela peut causer beaucoup de requêtes DNS pour des hôtes malveillants depuis chaque contrôleur de domaine.
   De plus, le connecteur peut essayer d’obtenir le nom NETBIOS de l’hôte lors de la résolution et vous recevrez un événement sur votre pare-feu indiquant que le serveur, où le SmartConnector de flux de renseignements sur les menaces est installé, essaie d’atteindre un hôte ‘mauvais’ sur le port 137.
4. Exclure les événements du SmartConnector de flux de renseignements sur les menaces dans les règles. Vous pouvez ajouter une condition à chaque règle, par exemple : ‘Nom de l’Agent != Nom du Connecteur TI’.

En conséquence, vous obtenez de nombreux événements superflus qui provoquent des déclenchements de règles faux positifs.

Pour désactiver l’option ‘Résolution des Noms’ sur un connecteur, allez à :

• Dans la Console ESM : double-cliquez sur le connecteur. Dans le panneau ‘Inspecter/Éditer’ ouvrez l’onglet ‘Défauts’ et choisissez ‘Activer la Résolution des Noms’ dans la section ‘Réseau’ – ‘No’. Cliquez sur ‘Appliquer’.
• Sur le connecteur : exécutez la commande ‘%CONNECTORHOME%/current/bin/./runagentsetup.sh’ sur Linux ou exécutez le fichier ‘%CONNECTORHOME%currentbinrunagentsetup.bat’ sur Windows. Choisissez ‘Modifier le Connecteur’ -> ‘Ajouter, modifier ou supprimer la destination’ -> choisissez la destination -> ‘Modifier les paramètres de destination’ -> ‘Réseau’ -> ‘Activer la Résolution des Noms’ défini sur ‘No’.
• Terminez la configuration du connecteur et redémarrez le service du connecteur.

Dans tous les cas d’utilisation provenant de SOC Prime, les événements source TI sont exclus dans les principaux filtres.