Enriquecendo eventos com dados adicionais

No artigo anterior, examinamos Campos de Dados Adicionais e como usá-los. Mas o que fazer se os eventos não tiverem as informações necessárias, mesmo nos Campos de Dados Adicionais?

Você pode sempre se deparar com a situação em que os eventos no ArcSight não contêm todas as informações necessárias para os Analistas. Por exemplo, ID de usuário em vez de nome de usuário, ID de host em vez de nome de host, etc.

Certamente, você pode sair dessa situação usando a Lista Ativa na análise e adicionar os dados necessários ao alerta/evento de correlação. Mas as coisas são um pouco piores em relação à busca de eventos, investigação porque os eventos ainda contêm apenas IDs.
Assim, precisamos de um recurso para enriquecer os eventos antes de serem ingeridos no banco de dados do ArcSight. Adivinhe, o ArcSight possui uma maneira de fazer isso. Na verdade, várias maneiras. E tentarei descrever todas elas.

Vamos imaginar que temos uma fonte de eventos, Sistema de Acesso Físico (PAS), e, por padrão, os eventos dessa fonte possuem apenas o ID de Usuário e não os Nomes de Usuário.
E mesmo para um caso de uso simples que nos notifica sobre a autenticação bem-sucedida em um controlador de domínio para o funcionário que fisicamente não está no prédio, precisamos dos nomes de usuário nos eventos PAS.

Enriquecendo eventos com regras de pré-persistência

A primeira maneira é usar regras de pré-persistência.
As regras de pré-persistência incluem um pequeno conjunto de recursos para permitir a análise básica de eventos e a definição de vários campos de evento, enriquecendo assim esses eventos base, antes de serem persistidos no banco de dados.
Portanto, o cenário geral de uso seria:

1. Criar Lista Ativa com correspondência de ID de Usuário para Nome de Usuário. Com o ID de Usuário como campo-chave.
2. Crie regra de pré-persistência. Defina Condições, no nosso caso eventos PAS. Vá para Variáveis Locais e crie a variável GetActiveListValue. Especifique a Lista Ativa do passo 1, selecione o campo que contém o ID de usuário (vamos assumir como Destination User ID). Esta variável obtém o Nome de Usuário correspondente ao ID de Usuário da Lista Ativa.
3. Vá para a aba Ações e, no gatilho ‘Em Cada Evento’, adicione a ação ‘Definir Campo do Evento’. Queremos que o campo Nome de Usuário de Destino seja enriquecido com o Nome de Usuário da Lista Ativa. Então, selecione a variável recém-criada (do passo 2) ao lado do campo Nome de Usuário de Destino. Assim, a ação deve ser a seguinte:
4. Salve a regra. Implante esta regra como Regras em Tempo Real.

Todos os novos eventos serão enriquecidos com nomes de usuário da Lista Ativa.
Este cenário tem um ponto que você precisa ter em mente. Que é a Lista Ativa atualizada com informações novas.
Eventos com ID de usuário que não têm nome de usuário correspondente na Lista Ativa terão o campo Nome de Usuário de Destino em branco.

Neste artigo, tivemos uma visão de uma das várias maneiras de enriquecer eventos do ArcSight com os dados necessários para criar casos de uso eficientes e economizar esforço durante uma investigação.

Na próxima parte deste artigo, apresentarei outras duas maneiras de superar esse desafio.
Fique em contato. Fique seguro.