Consegnare i feed TI in ArcSight senza l’attivazione di falsi positivi

Ogni utente o amministratore di ArcSight si trova di fronte a falsi positivi nei trigger delle regole mentre fornisce il feed di intelligence sulle minacce in ArcSight.
Questo avviene principalmente quando gli eventi delle fonti di intelligence non sono esclusi dalla condizione della regola o il connettore cerca di risolvere tutti gli indirizzi IP e i nomi host elaborati.

L’aderenza a queste semplici regole ti permetterà di evitare la correlazione errata dei falsi positivi:

1. Installa un Syslog SmartConnector separato per tutti i feed di TI. Questo è rilevante per tutti i feed di intelligence sulle minacce che inviano IOCs in eventi CEF tramite syslog.
2. Installa un File Reader SmartConnector separato (per esempio per file CSV). Questo è rilevante per gli IOCs in file CSV.
3. Disattiva ‘Risoluzione dei Nomi’ su Syslog/File Reader SmartConnector per i feed di intelligence sulle minacce. Se l’opzione ’Abilita Risoluzione dei Nomi’ è impostata su ‘Yes’ o ‘Solo Fonte/Dest’, il connettore tenta di risolvere tutti i nomi host in indirizzi IP e gli indirizzi IP in nomi host nei campi di Fonte/Destinazione. Se hai diversi controller di Active Directory nella tua rete, questo può causare molte richieste DNS per host malevoli da ciascun controller di dominio.
   Inoltre, il connettore può tentare di ottenere il nome NETBIOS dell’host durante la risoluzione e riceverai un evento sul tuo firewall secondo cui il server, dove è installato il connettore di intelligence sulle minacce, sta tentando di raggiungere un host ‘cattivo’ sulla porta 137.
4. Escludi gli eventi dal connettore di feed di intelligence sulle minacce nelle regole. Puoi aggiungere una condizione a ogni regola, per esempio: ‘Nome Agente != Nome Connettore TI’.

Di conseguenza, ottieni molti eventi eccessivi che causano falsi positivi nei trigger delle regole.

Per disabilitare l’opzione ‘Risoluzione dei Nomi’ su un connettore, vai a:

• Nella Console ESM: fai doppio clic sul connettore. Nell’interfaccia ‘Ispeziona/Modifica’ apri la scheda ‘Predefiniti’ e scegli ‘Abilita Risoluzione dei Nomi’ nella sezione ‘Rete’ – ‘No’. Clicca ‘Applica’.
• Sul connettore: esegui il comando ‘%CONNECTORHOME%/current/bin/./runagentsetup.sh’ su Linux o esegui il file ‘%CONNECTORHOME%currentbinrunagentsetup.bat’ su Windows. Scegli ‘Modifica Connettore’ -> ‘Aggiungi, modifica o rimuovi destinazione’ -> scegli destinazione -> ‘Modifica impostazioni Destinazione’ -> ‘Rete’ -> ‘Abilita Risoluzione dei Nomi’ impostato su ‘No’.
• Termina la configurazione del connettore e riavvia il servizio del connettore.

In tutti i casi d’uso, dagli eventi delle fonti di SOC Prime TI sono esclusi nei filtri principali.