ArcSight. Otimizando EPS (Agregação e Filtração)
Índice:
Quase todos os iniciantes em ArcSight enfrentam uma situação em que há um alto EPS (Eventos por Segundo) proveniente das fontes de log, especialmente quando isso é crítico para os limites de licença ou causa problemas de desempenho.
Para reduzir o EPS de entrada, o ArcSight possui dois métodos nativos para processamento de eventos: Agregação e Filtragem de Eventos. Neste artigo, tentarei explicar como otimizar o EPS de entrada usando essas duas opções.
Agregação de Eventos
A primeira e mais eficaz opção é a Agregação nos conectores. A agregação permite agregar muitos eventos semelhantes em um único evento; é como uma compressão inteligente. Pode agregar até 10000 eventos em 1 evento; isso significa que você pode reduzir o EPS de entrada até 10000 vezes. Vamos ver como funciona.
O firewall enviou 3 eventos semelhantes ao ArcSight:
Resultado=Permitir, IP de Origem=x.x.x.x, Porta de Origem=xx, IP de Destino=y.y.y.y, Porta de Destino=yy
Resultado=Negar, IP de Origem=x.x.x.x, Porta de Origem=xx, IP de Destino=z.z.z.z, Porta de Destino=zz
Resultado=Permitir, IP de Origem=x.x.x.x, Porta de Origem=xx, IP de Destino=y.y.y.y, Porta de Destino=yy
Aqui vemos que os 1º e 3º eventos são iguais, e nesse caso, o Conector com agregação habilitada combinará os 1º e 3º eventos em um único evento com o campo:
Resultado=Permitir, IP de Origem=x.x.x.x, Porta de Origem=xx, IP de Destino=y.y.y.y, Porta de Destino=yy Contagem de Eventos Agregados=2.Para configurar a Agregação, vá para o capítulo de configurações do Conector ‘Agregação Baseada em Campos’.
Defina parâmetros:Intervalo de Tempo. Por quantos segundos o conector deve agrupar os mesmos eventos. Não é recomendado definir um tempo superior a 30 segundos, pois nesse período os eventos serão retidos pelo conector e, como resultado, serão entregues ao Destino com atraso.Limiar de Eventos. Quantos eventos devem ser agregados com a janela de tempo. Defina a contagem de eventos a serem agregados. O conector agrupará essa quantidade de eventos semelhantes em um.Nomes de Campos. Define campos que devem ter o mesmo valor para agregação. Escolha todos os campos que você precisa salvar no banco de dados ArcSight. Todos os outros campos que não estão definidos na lista de campos de agregação serão perdidos, portanto, preste atenção a isso.Campos para Somar. Escolha campos numéricos que deseja somar. Na maioria das vezes, são os campos ‘Bytes In’ e ‘Bytes Out’.Preservar Campos Comuns. Defina ‘sim’ se deseja salvar outros campos no evento agregado (se forem comuns).
Filtragem de Eventos
A segunda opção para otimizar o EPS é filtrar eventos desnecessários no conector. Essa opção permite descartar eventos que não são importantes no nível do conector, então você não precisa modificar suas fontes de log.
É mais conveniente configurá-lo a partir do Console ArcSight na Configuração do Conector, aba Padrão, sub-aba Filtros. Aqui você pode definir o filtro para os eventos que você não deseja que cheguem ao ESM. Note que você está filtrando eventos AQUI, então se você não quer que o conector envie o Windows Event ID 5156: ‘A Plataforma de Filtragem do Windows permitiu uma conexão’, você precisa adicionar o filtro conforme mostrado na captura de tela:
Caso você queira enviar somente eventos específicos (criar uma lista branca de eventos), você precisa adicionar negociação ao filtro. Por exemplo, você deseja enviar somente logins Bem-Sucedidos e Falhos (IDDs de Eventos 4624 e 4625), então você precisa configurar o filtro conforme mostrado na captura de tela abaixo. Se o fizer, apenas esses eventos serão enviados ao ESM.
Mas e se você precisar filtrar eventos para um destino que não seja o ESM? Você pode configurar isso no menu Configuração do Conector no formato ‘deviceEventClassId EQ “Microsoft-Windows-Security-Auditing:5156″‘ (sem aspas). No segundo caso, quando você precisa enviar apenas Eventos com Id 4624 e 4625, o filtro deve ser semelhante a este: ‘Not (deviceEventClassId EQ “Microsoft-Windows-Security-Auditing:4624” Or deviceEventClassId EQ “Microsoft-Windows-Security-Auditing:4625″)’
Caso você precise configurar um filtro complicado para um destino que não seja o ESM, recomendo configurá-lo e testá-lo primeiro do console ESM e só depois copiá-lo do arquivo de configuração de destino do Conector .xml na pasta /current/user/agent/ (o nome parece algo como 312jhSFgBABCV2Sp8uG1sLA==.xml). Você precisa encontrar a string:
zonebasedfiltering.zonedefinition=” Not (deviceEventClassId EQ “Microsoft-Windows-Security-Auditing:4624” Or deviceEventClassId EQ “Microsoft-Windows-Security-Auditing:4625″)”
Usando agregação em conjunto com a filtragem de eventos, você pode otimizar e reduzir significativamente sua taxa de entrada de EPS. Mas tenha cuidado, o uso inconsiderado desses parâmetros pode levar à perda de dados importantes.
Se você estiver interessado em melhorar as operações do ArcSight, leia também o artigo Entregar feeds de TI no ArcSight sem disparos falsos positivos.
