Historical Correlation

E se eu implantei ou projetei novos Casos de Uso e quero saber se minha empresa foi exposta à ameaça no passado?

Ao trabalhar com ArcSight, muitas pessoas se perguntam se há uma maneira de realizar a correlação histórica. Elas até têm vários cenários reais para isso. O primeiro são eventos em lote; por exemplo, eventos não estão chegando ao ESM em tempo real, mas sim uma vez por intervalo de tempo (uma vez por hora, uma vez por dia, etc.). O segundo é aplicar a correlação aos dados históricos, por exemplo, para tomar ações não apenas em ocorrências futuras, mas também no passado. O terceiro é a capacidade de executar regras no momento necessário, por exemplo, executar regras ‘não críticas’ após o expediente comercial para descarregar o motor de correlação.

O ArcSight ESM tem a capacidade de realizar todas essas tarefas. Isso é chamado de regras agendadas.

Regras agendadas são uma alternativa útil para regras em tempo real em situações onde você deseja implantar regras que levam em consideração dados históricos junto com dados ao vivo, ou quando você quer controlar quando as regras são executadas. O motor de regras agendadas pode processar dados históricos, tomar ações reais e gerar eventos correlacionados, que são os mesmos dos gerados pelo motor de regras em tempo real.

Como agendar uma regra? Você pode não agendar uma única regra, mas sim um grupo de regras. Para agendar uma ou mais regras, coloque-as em uma pasta.Para agendar um grupo de regras, você precisa:

1. Ir para os recursos de Regras no Navegador.
2. Selecionar um grupo de regras, clicar com o botão direito e escolher Agendar Grupo de Regras no menu de contexto. (Se as regras necessárias não estiverem em um grupo, crie um novo grupo de regras, vincule ou mova regras para ele).
3. Adicionar um trabalho, nomeá-lo e descrevê-lo. Especificar uma agenda na qual executar o grupo de regras, clicando em ‘Clique aqui para definir a frequência do agendamento’ na parte inferior.
4. Especificar um filtro para essas regras. Por padrão, o filtro é definido para Todos os Eventos. Clique em Filtrar Resultados para refinar o filtro para exibir apenas eventos relevantes para a regra. Limitar o filtro otimiza o desempenho quando a regra é executada.
5. Clique em Aplicar ou OK para implantar.

As regras são implantadas de acordo com o cronograma especificado no editor de Grupo de Regras na aba Trabalhos e são acionadas se as condições da regra forem atendidas.

Uma coisa que você precisa ter em mente em relação ao editor de Frequência de Trabalho e aos parâmetros de tempo.Na primeira execução, a regra avaliará todos os eventos a partir da marca de tempo de ‘Início’ até $Agora (tempo de execução). Nas execuções seguintes, apenas eventos desde a última execução até $Agora serão observados.

Agora você está pronto para aplicar os cenários mais complicados e sofisticados.