Liste Attive in ArcSight, Pulizia Automatica. Parte 2

[post-views]
Novembre 16, 2017 · 3 min di lettura
Liste Attive in ArcSight, Pulizia Automatica. Parte 2

Un compito molto comune per tutti gli sviluppatori di contenuti ArcSight è la pulizia delle liste attive su base programmata o su richiesta automaticamente.
Nel post precedente ho descritto come pulire le Liste Attive su base programmata utilizzando i trend: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Oggi ti mostrerò altri due modi in cui ciò può essere realizzato.

Pulizia automatica delle Liste Attive basata su comandi da riga di comando sull’ESM

L’idea principale è che per prima cosa disinstalleremo il pacchetto di contenuti e successivamente lo reinstalleremo dalla riga di comando.

Innanzitutto, dobbiamo creare il pacchetto di contenuti in formato ‘export’ e aggiungere a questo pacchetto tutte le Liste Attive che si desidera siano pulite su programma o su richiesta e anche altre risorse che interagiscono con queste Liste Attive. Dopodiché dobbiamo creare un semplice script bash sull’ESM con i seguenti comandi:

  1. Il primo comando disinstallerà il pacchetto. ‘echo “1” |’ all’inizio della linea sceglierà automaticamente l’opzione ‘1: Crea nuovo archivio per il pacchetto’ nel caso in cui il contenuto del pacchetto sia cambiato.echo “1” | /opt/arcsight/manager/bin/arcsight package -action uninstall -package “/All Packages/Personal/admin’s Packages/Clear Active Lists” -u adminuser -p password -m esm-hostname
  2. Il secondo comando reinstallerà il pacchetto:/opt/arcsight/manager/bin/arcsight package -action install -package “/All Packages/Personal/admin’s Packages/Clear Active Lists” -u adminuser -p password -m esm-hostname

Si prega di notare che questo metodo non è adatto se si utilizzano i trend nel caso d’uso poiché dopo la reinstallazione del pacchetto di contenuti tutti i dati del trend verranno interrogati dall’inizio dal parametro ‘Start’ dell’intervallo di tempo del programma dei trend e questo potrebbe avere un impatto sulle prestazioni.Quando lo script è pronto, testalo inizialmente per assicurarti che funzioni come previsto e successivamente programmarlo o aggiungerlo come azione ‘Esegui Comando’ nel trigger della regola.

Pulizia automatica basata su regole

Se hai bisogno, ad esempio, di resettare i contatori nella Lista Attiva per una linea specifica o semplicemente cancellare questa linea in un nuovo giorno, è necessario aggiungere ai campi della Lista Attiva ‘Ultimo Tempo Evento’ e ‘Conteggio Eventi’. Nel campo ‘Ultimo Tempo Evento’ inserisci ‘Tempo di Fine’ dall’evento, nel ‘Conteggio Eventi’ inserisci ‘Conteggio Eventi Aggregati’. Aggiungi alle regole le variabili per confrontare ‘Tempo di Fine’ (ora corrente dell’evento) e ‘Ultimo Tempo Evento’ dalla Lista Attiva con l’aiuto di una variabile ‘GetDayOfYear’. Nel caso in cui ‘GetDayOfYear(Tempo di Fine)’ sia maggiore di ‘GetDayOfYear(Ultimo Tempo Evento)’ allora è necessario resettare i contatori degli eventi o cancellare la voce nella Lista Attiva a seconda delle esigenze. Non dimenticare di aggiungere il controllo se sia arrivato il nuovo anno o meno.

Credo che ci siano altri modi possibili per la pulizia automatica delle Liste Attive e spero che questi post ti diano una comprensione di base dei modi possibili e aprano nuove opportunità per costruire nuovi ottimi casi d’uso.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati