Correlazione Storica

E se avessi distribuito o progettato un nuovo Use Case e volessi sapere se la mia azienda è stata esposta alla minaccia in passato?

Lavorando con ArcSight, molte persone si chiedono se esista un modo per realizzare una correlazione storica. Hanno persino diversi scenari di vita reale per questo. Il primo è relativo agli eventi raggruppati, ad esempio eventi che non arrivano a ESM in tempo reale ma piuttosto una volta per intervallo di tempo (una volta all’ora, una volta al giorno, ecc.). Il secondo è applicare la correlazione ai dati storici, ad esempio per intraprendere azioni non solo su eventi futuri ma anche nel passato. Il terzo è la capacità di eseguire regole in orari richiesti, ad esempio eseguire regole ‘non critiche’ dopo l’orario lavorativo per scaricare il motore di correlazione.

ArcSight ESM ha la capacità di svolgere tutti questi compiti. Si chiama regole programmate.

Le regole programmate sono un’alternativa utile alle regole in tempo reale in situazioni in cui si vogliono distribuire regole che tengano conto dei dati storici insieme ai dati live, o quando si desidera semplicemente controllare quando le regole vengono eseguite. Il motore delle regole programmate può elaborare dati storici, intraprendere azioni reali e generare eventi correlati, che sono gli stessi di quelli generati dal motore delle regole in tempo reale.

Come programmare una regola? Non è possibile programmare una singola regola, ma piuttosto un gruppo di regole. Per programmare una o più regole, collocale in una cartella.Per programmare un gruppo di regole, è necessario:

1. Vai alle risorse delle Regole nel Navigatore.
2. Seleziona un gruppo di regole, fai clic destro e scegli Programma Gruppo di Regole dal menu contestuale. (Se le regole richieste non si trovano in un gruppo, crea un nuovo gruppo di regole, collega o sposta le regole in esso).
3. Aggiungi un lavoro, nomina e descrivilo. Specifica un piano su cui eseguire il gruppo di regole facendo clic su ‘Clicca qui per impostare la frequenza della programmazione’ in basso.
4. Specifica un filtro per queste regole. Per impostazione predefinita, il filtro è impostato su Tutti gli Eventi. Clicca su Risultati Filtro per affinare il filtro per mostrare solo gli eventi pertinenti alla regola. Restringere il filtro ottimizza le prestazioni quando la regola viene eseguita.
5. Fai clic su Applica o OK per distribuire.

Le regole vengono distribuite in base alla programmazione specificata nell’editor del Gruppo di Regole nella scheda Lavori e vengono attivate se le condizioni della regola sono soddisfatte.

Una cosa da tenere a mente riguardo l’editor della Frequenza dei Lavori e i parametri temporali.Al primo avvio, la regola valuterà tutti gli eventi a partire dal timestamp di ‘Inizio’ fino a $Now (tempo di esecuzione). Nei successivi esecuzioni, verranno osservati solo gli eventi dall’ultima esecuzione fino a $Now.

Ora sei pronto per applicare gli scenari più complicati e sofisticati.