ArcSight. EPSの最適化（集約とフィルタリング）

ほとんどすべてのArcSightの初心者は、ログソースからのEPS（秒当たりのイベント数）の入力が多い状況に直面します。特に、ライセンスの制限に重大であるか、パフォーマンスの問題を引き起こす場合です。

入力EPSを減少させるために、ArcSightにはイベント処理のための2つのネイティブな方法があります：イベント集約とフィルタリング。この記事では、これら2つのオプションを使用して入力EPSを最適化する方法を説明します。

イベントの集約

最初で最も効果的なオプションはコネクタでの集約です。集約は、多くの類似イベントを1つのイベントに集約することを可能にします。これはスマートな圧縮のようなものです。最大で10000イベントを1つのイベントに集約することができ、これにより入力EPSを最大10000倍減少させることができます。どのように機能するか見てみましょう。
防火壁がArcSightに3つの類似イベントを送信しました：
Outcome=Allow, Source IP=x.x.x.x, Source Port=xx, Destination IP=y.y.y.y, Destination Port=yy
Outcome=Deny, Source IP=x.x.x.x, Source Port=xx, Destination IP=z.z.z.z, Destination Port=zz
Outcome=Allow, Source IP=x.x.x.x, Source Port=xx, Destination IP=y.y.y.y, Destination Port=yy
ここで1つ目と3つ目のイベントが同じであることがわかります。この場合、集約が有効なコネクタは1つ目と3つ目のイベントを1つにまとめ、以下のフィールドを持つイベントを作成します：
Outcome=Allow, Source IP=x.x.x.x, Source Port=xx, Destination IP=y.y.y.y, Destination Port=yy 集約されたイベント数=2。集約を設定するには、コネクタの設定の’Field Based Aggregation’章に進みます。
パラメータを設定します：時間間隔。 同じイベントを何秒間グループ化するか。時間を30秒以上に設定することは推奨されません。この時間中、イベントはコネクタによって保留され、結果として宛先への配信に遅れが生じます。イベントしきい値。 時間枠内でいくつのイベントを集約するか。集約するイベント数を設定します。コネクタは同様のイベントをこの量だけまとめて1つにします。フィールド名。 集約のために同じ値を持つべきフィールドを定義します。ArcSightデータベースに保存する必要があるすべてのフィールドを選択します。集約フィールドリストで定義されていない他のすべてのフィールドは失われるので、注意してください。合計するフィールド。 合計したい数値フィールドを選択します。ほとんどの場合、『Bytes In』と『Bytes Out』フィールドが該当します。共通フィールドを保存する。 集約されたイベントに他のフィールドを保存する場合（共通であれば）、‘yes’を設定します。

イベントのフィルタリング

EPSを最適化するための第2のオプションは、コネクタで不要なイベントをフィルタリングすることです。このオプションでは、コネクタレベルで重要でないイベントを破棄することができるため、ログソースを変更する必要はありません。
ArcSightコンソールのConnector SettingのDefaultタブ、Filtersサブタブから設定するのが便利です。ここでは、ESMに送信したくないイベントのフィルタを設定できます。ここでのフィルタリングはOUTイベントを対象としているため、コネクタがWindowsイベントID 5156: 『Windowsフィルタリングプラットフォームが接続を許可しました』を送信しないようにしたい場合は、スクリーンショットに示されているようにフィルタを追加する必要があります。特定のイベントのみを送信したい場合（イベントのホワイトリストを作成する場合）、フィルタに交渉を追加する必要があります。例えば、SuccessfulとFailedのログオン（イベントID 4624および4625）のみを送信したい場合、次に示すスクリーンショットのようにフィルタを設定する必要があります。そうすると、これらのイベントのみがESMに送信されます。しかし、ESM宛でない目的地にイベントをフィルタリングする必要がある場合はどうしたら良いでしょうか。
これをコネクタ設定メニューで、’deviceEventClassId EQ 「Microsoft-Windows-Security-Auditing:5156」’という形式で設定できます（引用符は含まない）。イベントID 4624および4625のみを送信する必要がある場合は、このフィルタは次のように設定すべきです：‘ Not (deviceEventClassId EQ 「Microsoft-Windows-Security-Auditing:4624」 Or deviceEventClassId EQ 「Microsoft-Windows-Security-Auditing:4625」)’
ESM宛ではない目的地に複雑なフィルタを設定する必要がある場合、ESMコンソールから設定してテストし、それからのみConnectorの宛先構成.xmlファイルから /current/user/agent/ フォルダ（名前は 312jhSFgBABCV2Sp8uG1sLA==.xml のように見えます）にコピーすることをお勧めします。
以下の文字列を探す必要があります：
zonebasedfiltering.zonedefinition=” Not (deviceEventClassId EQ 「Microsoft-Windows-Security-Auditing:4624」 Or deviceEventClassId EQ 「Microsoft-Windows-Security-Auditing:4625」)”

イベントの集約とフィルタリングを組み合わせて使用することで、着信EPS率を最適化し、著しく削減することができます。ただし、これらのパラメータを無謀に使用すると重要なデータが失われる可能性があるので注意してください。

ArcSightの操作を改善したい場合は、この記事もお読みください。 ITフィードをArcSightに誤検知トリガーなしで配信する.