IBM QRadar のイベントフィルタリング

SIEMツール（IBM QRadarを含む）を構成する際、管理者はよく誤った判断をします：「すべてのログをSIEMに送信し、その後でそれらをどう処理するかを考えよう」
このような行動は、ほとんどの場合、ライセンスの膨大な利用、大きなSIEMツールへの負荷、キャッシュキューの出現、時にはイベントの損失につながります。結果的に、SIEMがインシデントを非常に遅れて登録するか、まったく登録しない状況に陥ります。この課題を解決する方法は？

主な選択肢は不要なイベントをフィルタリングすることです。フィルタリングを設定するには、SIEMツールに届けられるデータの初期分析が必要です。これにより、フィルタリングすべきデータを特定することができます。必要なイベントの決定作業が完了したら、設定をIBM QRadarに転送する必要があります。オプション 1WindowsイベントがWinCollectエージェントで収集される場合、以下のようにフィルタリングできます：「管理」-「ログソース」。WinCollectエージェントでイベントが収集されるデータソースの編集を開くか、新しいソースを作成します。LogSourceの設定では、すべての必須フィールドを入力して、収集すべきログのタイプを選択する必要があります。「除外フィルター」を「* ログフィルタータイプ」ドロップダウンメニューで選択します。「* ログフィルター」フィールドには、次の要件を満たすフィルターを指定します：
1. イベントID例: 17,338,873-875,10242. フィルタリングしたいサービス名（カンマまたはハイフンで区切られたイベントID）。例: Sysmon (1-3.6); Ossec (55,4667)

オプション 2イベントフィルタリングのもう一つの方法は「ルーティングルール」を利用することです。
これを行うには、「管理」–「ルーティングルール.’
選択「Add」。必須フィールドを記入します – 「名前」など。
「イベント フィルター」メニューで、イベントフィルタリングの基礎となるフィルターを指定します。「ドロップ」を「ルーティングオプション」メニューで選択します。
「保存.’
保存後、フィルタリングルールは以下のように表示されます。これら2つのイベントフィルタリングオプションは、EPSを大幅に削減し、ライセンスの利用を改善し、結果としてSIEMツールのROIを向上させることができます。IBM QRadarでのイベントのパフォーマンスとキャッシングは適切なレベルに保たれます。

過度のフィルタリングは、分析と相関から重要なイベントを削除する可能性があることを忘れないでください。フィルターを追加する際は注意し、フィルタリングの結果を確認してください。