Filtraggio Eventi in IBM QRadar

Durante la configurazione di uno strumento SIEM (incluso IBM QRadar), gli amministratori spesso prendono la decisione sbagliata: “Invieremo tutti i log al SIEM, e poi capiremo cosa farne.”
Tali azioni portano più spesso a un enorme utilizzo della licenza, un carico di lavoro enorme su uno strumento SIEM, la comparsa di una coda di cache e talvolta alla perdita di eventi. A sua volta, ciò porta alla situazione in cui il SIEM registra gli incidenti troppo tardi o non li registra affatto. Come risolvere questo compito?

L’opzione principale è filtrare gli eventi non necessari. Per configurare il filtraggio, è richiesta un’analisi iniziale dei dati che vengono inviati allo strumento SIEM. Questo è necessario per determinare i dati che devono essere filtrati. Dopo aver completato il lavoro sulla determinazione degli eventi necessari, è necessario trasferire le impostazioni a IBM QRadar.Opzione 1Se gli eventi di Windows sono raccolti con l’agente WinCollect, possono essere filtrati come segue:Vai a ‘Admin‘ – ‘Sorgenti di Log‘. Apri l’editing della sorgente dati o crea una nuova fonte da cui vengono raccolti gli eventi con l’agente WinCollect.Nelle impostazioni di LogSource, devi compilare tutti i campi richiesti e selezionare il tipo di log che deve essere raccolto. Seleziona l’elemento ‘Filtro di Esclusione’ nel menu a discesa ‘* Tipo di Filtro Log‘. Nel campo ‘* Filtro Log,’ specifica il filtro che soddisfa i seguenti requisiti:
1. ID EventoEsempio: 17,338,873-875,10242. Nomi dei servizi (ID eventi separati da virgole o trattini) che desideri filtrare.Esempio: Sysmon (1-3.6); Ossec (55,4667)

Opzione 2Un altro modo di filtrare gli eventi è l’uso delle ‘Regole di Routing‘.
Per fare ciò, vai alla scheda ‘Admin’ – ‘Regole di Routing.’
Seleziona ‘Add.’Compila i campi richiesti – ‘Nome‘, ecc.
Nel menu ‘Event Filtri’ specifica un filtro che diventerà la base per il filtraggio degli eventi.
Seleziona ‘Elimina’ nel menu ‘Opzioni di Routing’.
Clicca ‘Salva.’
Dopo il salvataggio, la regola di filtraggio apparirà come segue:Queste due opzioni per filtrare gli eventi ti permetteranno di ridurre significativamente l’EPS, migliorare l’utilizzo della licenza e quindi aumentare il ROI del tuo strumento SIEM. Le prestazioni e la memorizzazione nella cache degli eventi in IBM QRadar rimarranno al livello adeguato.

Ricorda, un filtraggio eccessivo può rimuovere eventi importanti dall’analisi e dalla correlazione. Fai attenzione quando aggiungi filtri e controlla i risultati del filtraggio.