Filtragem de Eventos no IBM QRadar

Ao configurar uma ferramenta SIEM (incluindo o IBM QRadar), os administradores muitas vezes tomam a decisão errada: “Vamos enviar todos os logs para o SIEM e, depois, descobriremos o que fazer com eles.”
Tais ações geralmente levam a uma utilização enorme da licença, grande carga de trabalho em uma ferramenta SIEM, aparecimento de uma fila de cache e, por vezes, à perda de eventos. Por sua vez, isso leva à situação em que o SIEM registra incidentes tarde demais ou não os registra de forma alguma. Como resolver essa tarefa?

A opção principal é filtrar eventos desnecessários. Para configurar o filtro, é necessária uma análise inicial dos dados que são entregues à ferramenta SIEM. Isso é necessário para determinar quais dados devem ser filtrados. Após concluir o trabalho de determinação dos eventos necessários, você deve transferir as configurações para o IBM QRadar.Opção 1Se os eventos do Windows forem coletados com o agente WinCollect, eles podem ser filtrados da seguinte forma:Vá para ‘Admin‘ – ‘Log Sources‘. Abra a edição da fonte de dados ou crie uma nova fonte a partir da qual os eventos são coletados com o agente WinCollect.Nas configurações de LogSource, você precisa preencher todos os campos obrigatórios e selecionar o tipo de logs que devem ser coletados. Selecione o item ‘Exclusion Filter’ no menu suspenso ‘* Log Filter Type‘. No campo ‘* Log Filter‘, especifique o filtro que atenda aos seguintes requisitos:
1. ID do EventoExemplo: 17,338,873-875,10242. Nomes dos serviços (IDs de eventos separados por vírgulas ou hifens) que você deseja filtrar.Exemplo: Sysmon (1-3.6); Ossec (55,4667)

Opção 2Outra forma de filtragem de eventos é o uso de ‘Routing Rules‘.
Para fazer isso, vá para a aba ‘Admin’ – ‘Routing Rules.’
Selecione ‘Add’.Preencha os campos obrigatórios – ‘Name‘, etc.
No menu ‘Event Filters’ especifique um filtro que se tornará a base para a filtragem de eventos.
Selecione ‘Drop’ no menu ‘Routing Options’.
Clique em ‘Save.’
Após salvar, a regra de filtragem ficará assim:Essas duas opções para filtrar eventos permitirão que você reduza significativamente o EPS, melhore a utilização da licença e, assim, aumente o ROI da sua ferramenta SIEM. O desempenho e a cache de eventos do IBM QRadar permanecerão no nível adequado.

Lembre-se, o excesso de filtragem pode remover eventos importantes da análise e correlação. Seja cuidadoso ao adicionar filtros e verifique os resultados da filtragem.