Fornecer feeds de TI para o ArcSight sem gatilhos de falso positivo

Todo usuário ou administrador do ArcSight enfrenta disparos falsos positivos de regras ao entregar feeds de inteligência de ameaças no ArcSight.
Isso ocorre principalmente quando os eventos de fonte de inteligência de ameaças não são excluídos da condição da regra ou o conector tenta resolver todos os endereços IP e nomes de host que estão sendo processados.

Aderir a essas regras simples permitirá que você evite correlação de falsos positivos:

1. Instale um Syslog SmartConnector separado para todos os feeds de TI. Isso é relevante para todos os feeds de inteligência de ameaças que estão enviando IOCs em eventos CEF via syslog.
2. Instale um File Reader SmartConnector separado (por exemplo, para arquivos CSV). Isso é relevante para IOCs em arquivo CSV.
3. Desative ‘Resolução de Nomes’ no Syslog/File Reader SmartConnector para feeds de inteligência de ameaças. Se a opção ‘Ativar Resolução de Nomes’ estiver definida como ‘Yes’ ou ‘Apenas Origem/Destino’, o conector tentará resolver todos os nomes de host para endereços IP e endereços IP para nomes de host nos campos de Origem/Destino. Se você tiver vários controladores Active Directory na sua rede, isso pode causar muitas solicitações DNS para hosts maliciosos de cada controlador de domínio.
   Além disso, o conector pode tentar obter o nome NETBIOS do host durante a resolução, e você receberá um evento no seu firewall que o servidor, onde o SmartConnector de feed de inteligência de ameaças está instalado, está tentando alcançar o host ‘ruim’ na porta 137.
4. Exclua eventos do SmartConnector de feed de inteligência de ameaças nas regras. Você pode adicionar uma condição a cada regra, por exemplo: ‘Nome do Agente != Nome do Conector TI’.

Como resultado, você obtém muitos eventos excessivos que causam disparos falsos positivos de regras.

Para desativar a opção ‘Resolução de Nomes’ em um conector, vá para:

• No Console ESM: clique duas vezes no conector. No painel ‘Inspecionar/Editar’, abra a guia ‘Padrões’ e escolha ‘Ativar Resolução de Nomes’ na seção ‘Rede’ – ‘No’. Clique em ‘Aplicar’.
• No conector: execute o comando ‘%CONNECTORHOME%/current/bin/./runagentsetup.sh’ no Linux ou execute o arquivo ‘%CONNECTORHOME%currentbinrunagentsetup.bat’ no Windows. Escolha ‘Modificar Conector’ -> ‘Adicionar, modificar ou remover destino’ -> escolha o destino -> ‘Modificar configurações de destino’ -> ‘Rede’ -> ‘Ativar Resolução de Nomes’ definido como ‘No’.
• Finalize a configuração do conector e reinicie o serviço do conector.

Em todos os Casos de Uso da fonte SOC Prime TI, os eventos são excluídos nos filtros principais.