ArcSight. Ottimizzazione EPS (Aggregazione e Filtrazione)

[post-views]
Ottobre 23, 2017 · 5 min di lettura
ArcSight. Ottimizzazione EPS (Aggregazione e Filtrazione)

Quasi tutti i principianti di ArcSight si trovano di fronte a una situazione in cui ci sono EPS in entrata elevate dalle fonti di log, specialmente quando è critico per i limiti della licenza o causa problemi di prestazioni.

Per ridurre gli EPS in entrata, ArcSight ha due metodi nativi per la elaborazione degli eventi: Aggregazione degli eventi e Filtrazione. In questo articolo, cercherò di spiegare come ottimizzare gli EPS in entrata utilizzando queste due opzioni.

Aggregazione degli Eventi

La prima e più efficace opzione è l’Aggregazione sui connettori. L’aggregazione consente di aggregare molti eventi simili in un solo evento; è come una compressione intelligente. Può aggregare fino a 10000 eventi in un evento; ciò significa che puoi ridurre gli EPS in entrata fino a 10000 volte. Vediamo come funziona.
Il firewall ha inviato 3 eventi simili ad ArcSight:
Outcome=Allow, Source IP=x.x.x.x, Source Port=xx, Destination IP=y.y.y.y, Destination Port=yy
Outcome=Deny, Source IP=x.x.x.x, Source Port=xx, Destination IP=z.z.z.z, Destination Port=zz
Outcome=Allow, Source IP=x.x.x.x, Source Port=xx, Destination IP=y.y.y.y, Destination Port=yy
Qui vediamo che il 1° e il 3° evento sono gli stessi, e in questo caso il connettore con aggregazione abilitata combinerà il 1° e il 3° evento in un unico evento con il campo:
Outcome=Allow, Source IP=x.x.x.x, Source Port=xx, Destination IP=y.y.y.y, Destination Port=yy Conteggio degli Eventi Aggregati=2.Per configurare l’Aggregazione, vai al capitolo delle impostazioni del Connettore ‘Field Based Aggregation’.
Imposta parametri:Intervallo di Tempo. Per quanti secondi il connettore dovrebbe raggruppare gli stessi eventi. Non è consigliabile impostare un tempo superiore a 30 secondi, poiché per questo tempo gli eventi verranno trattenuti dal connettore e, di conseguenza, verranno consegnati alla destinazione con ritardo.Soglia degli Eventi. Quanti eventi dovrebbero essere aggregati nella finestra temporale. Imposta il conteggio degli eventi da aggregare. Il connettore raggrupperà questa quantità di eventi simili in uno solo.Nomi dei Campi. Definisce i campi che dovrebbero avere lo stesso valore per l’aggregazione. Scegli tutti i campi che devi salvare nel database ArcSight. Tutti gli altri campi non definiti nell’elenco dei campi di aggregazione andranno persi, quindi fai attenzione a questo.Campi da Sommare. Scegli i campi numerici che vuoi sommare. Più spesso questi sono i campi ‘Bytes In’ e ‘Bytes Out’.Preserva Campi Comuni. Imposta ‘sì’ se desideri salvare altri campi nell’evento aggregato (se sono comuni).

Filtraggio degli Eventi

La seconda opzione per ottimizzare gli EPS è il Filtraggio degli eventi non necessari sul connettore. Questa opzione ti consente di scartare eventi che non sono importanti a livello di connettore, quindi non è necessario modificare le tue fonti di log.
È più conveniente configurarlo dalla Console di ArcSight nel menu Impostazioni del Connettore, scheda Predefinito, sottoscheda Filtri. Qui puoi impostare il filtro per gli eventi che non vuoi che arrivino a ESM. Nota che qui stai filtrando gli eventi IN USCITA, quindi se non vuoi che il connettore invii l’ID Evento di Windows 5156: ‘The Windows Filtering Platform has allowed a connection’ devi aggiungere il filtro come mostrato nello screenshot:Nel caso in cui desideri inviare solo eventi specifici (creare una whitelist di eventi), devi aggiungere la negoziazione al filtro. Ad esempio, desideri inviare solo accessi riusciti e falliti (ID Eventi 4624 e 4625), quindi devi configurare il filtro come mostrato nello screenshot sottostante. Se lo fai, solo questi eventi verranno inviati a ESM.Ma cosa succede se devi filtrare eventi verso destinazioni diverse da ESM? Puoi configurarlo nel menu delle Impostazioni del Connettore nel formato ‘deviceEventClassId EQ “Microsoft-Windows-Security-Auditing:5156” ’ (senza virgolette). Nel secondo caso, quando devi inviare solo Eventi con Id 4624 e 4625, il filtro dovrebbe essere simile a questo: ‘ Not (deviceEventClassId EQ “Microsoft-Windows-Security-Auditing:4624” Or deviceEventClassId EQ “Microsoft-Windows-Security-Auditing:4625″)’
Nel caso in cui tu debba configurare un filtro complicato per destinazioni diverse da ESM, ti consiglio di impostarlo e testarlo prima dalla console ESM e solo dopo copiarlo dal file di configurazione .xml della destinazione del Connettore nella cartella /current/user/agent/ (il nome sembra 312jhSFgBABCV2Sp8uG1sLA==.xml). Devi trovare la stringa:
zonebasedfiltering.zonedefinition=” Not (deviceEventClassId EQ “Microsoft-Windows-Security-Auditing:4624” Or deviceEventClassId EQ “Microsoft-Windows-Security-Auditing:4625″)”

Usando l’aggregazione insieme al filtraggio degli eventi, puoi ottimizzare e ridurre significativamente il tuo tasso di EPS in entrata. Ma fai attenzione, un uso inconsapevole di questi parametri può portare alla perdita di dati importanti.

Se sei interessato a migliorare le operazioni di ArcSight, leggi anche l’articolo Consegna feed IT in ArcSight senza attivazione di falsi positivi.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Guida alle Regole Sigma per ArcSight
Blog, Sigma — 5 min di lettura
Guida alle Regole Sigma per ArcSight
Jordan Camba
Arricchire gli eventi con dati aggiuntivi
Blog, SIEM & EDR — 3 min di lettura
Arricchire gli eventi con dati aggiuntivi
Ruslan Mihalev
Dati Aggiuntivi in ArcSight ESM
Blog, SIEM & EDR — 3 min di lettura
Dati Aggiuntivi in ArcSight ESM
Ruslan Mihalev