Arricchire gli eventi con dati aggiuntivi

Nell’articolo precedente, abbiamo esaminato Campi di dati aggiuntivi e come usarli. Ma cosa succede se gli eventi non hanno le informazioni necessarie/obbligatorie/neccessarie nemmeno nei campi di Dati Aggiuntivi?

Può capitare di trovarsi nella situazione in cui gli eventi in ArcSight non contengano tutte le informazioni necessarie per gli Analisti. Ad esempio, ID utente invece del nome utente, ID host invece del nome host, ecc.

Certamente, si può uscire da questa situazione utilizzando una Lista Attiva nell’analisi e aggiungere i dati richiesti all’evento di allerta/correlazione. Ma le cose sono un po’ peggiori per quanto riguarda la ricerca eventi e l’investigazione, perché gli eventi continuano a contenere solo gli ID.
Dunque, abbiamo bisogno di una funzionalità per arricchire gli eventi prima che vengano inseriti nel database di ArcSight. Indovina un po’, ArcSight ha un modo per farlo. Anche più di uno. E cercherò di descriverli tutti.

Immaginiamo di avere una fonte evento, il Sistema di Accesso Fisico (PAS), e per impostazione predefinita gli eventi di questa fonte hanno solo l’ID utente e non i nomi utenti.
E anche per un semplice caso d’uso che ci avvisa di un’autenticazione riuscita su un controller di dominio per un dipendente che non è fisicamente nell’edificio, abbiamo bisogno dei nomi utenti negli eventi PAS.

Arricchimento degli eventi con regole di pre-persistenza

Il primo modo è usare le regole di pre-persistenza.
Le regole di pre-persistenza includono un piccolo set di funzionalità per abilitare l’analisi degli eventi di base e l’impostazione di vari campi evento, arricchendo così questi eventi base, prima che gli eventi stessi siano persistiti nel database.
Così lo scenario d’uso generale sarebbe:

1. Crea una Lista Attiva con le corrispondenze ID utente e Nome utente. Con ID utente come campo chiave.
2. Crea una regola di pre-persistenza. Definisci le Condizioni, nel nostro caso eventi PAS. Vai a Variabili Locali e crea una variabile GetActiveListValue. Specifica la Lista Attiva dal passo 1, seleziona il campo che contiene l’ID utente (supponiamo ID utente di destinazione). Questa variabile recupera il Nome utente corrispondente all’ID utente dalla Lista Attiva.
3. Vai alla scheda Azioni e nel trigger ‘Su ogni evento’ aggiungi l’azione ‘Imposta campo evento’. Vogliamo che il campo Nome utente di destinazione sia arricchito con il Nome utente dalla Lista Attiva. Quindi seleziona la variabile appena creata (dal passo 2) accanto al campo Nome utente di destinazione. Quindi l’azione dovrebbe apparire nel modo seguente:
4. Salva la regola. Distribuisci questa regola come Regole in tempo reale.

Tutti i nuovi eventi saranno arricchiti con i nomi utente dalla Lista Attiva.
Questo scenario ha un punto che devi tenere in mente. Cioè aggiornare la Lista Attiva con informazioni fresche.
Gli eventi con l’ID utente che non hanno un nome utente corrispondente nella Lista Attiva avranno il campo Nome utente di destinazione vuoto.

In questo articolo, abbiamo visto uno dei vari modi per arricchire gli eventi di ArcSight con i dati necessari per creare casi d’uso efficienti e risparmiare sforzi durante un’indagine.

Nella prossima parte di questo articolo, presenterò altri due modi per affrontare questa sfida.
Resta in contatto. Resta al sicuro.