IBM QRadar에서 이벤트 필터링

SIEM 도구(IBM QRadar 포함)를 설정하는 동안, 관리자들은 종종 오류를 범합니다: “모든 로그를 SIEM으로 보내고, 나중에 어떻게 처리할지 고민하자.” 이러한 행동은 대개 엄청난 라이선스 사용, SIEM 도구에 대한 엄청난 작업량, 캐시 큐의 출현, 때로는 이벤트 손실로 이어집니다. 결과적으로 SIEM은 사건을 너무 늦게 등록하거나 전혀 등록하지 못하는 상황에 이르게 됩니다. 이 문제를 어떻게 해결할 수 있을까요?

주요 옵션은 불필요한 이벤트를 필터링하는 것입니다. 필터링을 구성하려면, SIEM 도구에 전달되는 데이터에 대한 초기 분석이 필요합니다. 이는 필터링해야 할 데이터를 결정하는 데 필수적입니다. 필요한 이벤트를 결정하는 작업이 완료된 후, 설정을 IBM QRadar로 전송해야 합니다.옵션 1Windows 이벤트가 WinCollect 에이전트로 수집되는 경우, 다음과 같이 필터링할 수 있습니다:다음으로 이동: ‘관리자(Admin)‘ – ‘로그 소스(Log Sources)‘. WinCollect 에이전트로 이벤트가 수집되는 소스를 편집하거나 새 소스를 만듭니다.로그 소스 설정에서는 모든 필수 필드를 채우고 수집해야 할 로그 유형을 선택해야 합니다. ‘제외 필터(Exclusion Filter)’를 드롭다운 메뉴 ‘* 로그 필터 유형(Log Filter Type).’의 항목으로 선택합니다. ‘* 로그 필터(Log Filter)’ 필드에 다음 요구 사항을 충족하는 필터를 지정하십시오:
1. 이벤트 ID예시: 17,338,873-875,10242. 필터링하고자 하는 서비스의 이름 (이벤트 ID는 쉼표 또는 하이픈으로 구분)예시: Sysmon (1-3.6); Ossec (55,4667)

옵션 2이벤트 필터링의 또 다른 방법은 ‘라우팅 규칙(Routing Rules)’을 사용하는 것입니다.
이를 위해, ‘관리자(Admin)’ – ‘라우팅 규칙(Routing Rules).’
‘을 선택하십시오.Add’을 선택하십시오.필수 필드를 채우십시오 – ‘이름(Name)‘, 등을 입력합니다.
‘이벤트 필터(Filter)’ 메뉴에서 이벤트 필터링의 기반이 될 필터를 지정하십시오.
‘삭제(Drop)’을 ‘라우팅 옵션(Routing Options)’ 메뉴에서 선택합니다.
‘저장(Save).’
저장’ 버튼을 클릭하십시오. 저장 후, 필터링 규칙은 다음과 같이 보일 것입니다.이러한 두 가지 이벤트 필터링 옵션은 EPS를 크게 줄여 SIEM 도구의 라이선스 활용도와 ROI를 높일 수 있습니다. IBM QRadar의 성능과 이벤트의 캐싱은 적절한 수준을 유지할 것입니다.

과도한 필터링은 중요한 이벤트를 분석과 상관관계에서 제외할 수 있습니다. 필터를 추가할 때 주의하고 필터링 결과를 확인하십시오.