Ajustando as origens de dados do SIEM para obter desempenho
Última modificação: 2022-07-19 12:43:50 Etc/GMT
Aviso de isenção de responsabilidade
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas:
Veja como um ecossistema XDR que está sempre se adaptando pode energizar sua empresa.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
Faça download do relatório Magic Quadrant, que avalia os 19 fornecedores com base na capacidade de execução e na abrangência de visão.
De acordo com a Gartner, “o XDR é uma tecnologia emergente que pode oferecer melhor prevenção, detecção e resposta a ameaças”.
Quais ameaças à segurança cibernética devem estar no radar das empresas em 2022?
A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
Duas líderes confiáveis em segurança cibernética se uniram para criar um mundo digital resiliente.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Ajustando as origens de dados do SIEM para obter desempenho
Artigos técnicos ID:
KB93502
Última modificação: 2022-07-19 12:43:50 Etc/GMT Ambiente
Enterprise Security Manager (ESM) Receptor de eventos corporativos ResumoVocê pode otimizar um receptor de eventos corporativos e um ESM para o melhor desempenho de origens de dados.
Por padrão, o ESM atribui novas origens de dados com todas as regras disponíveis. Além disso, trata-se de cada regra com a mesma prioridade, mesmo que as contagens de eventos reais não sejam as mesmas de regra para regra. Essa abordagem facilita a adição rápida de origens de dados ao ambiente SIEM. No entanto, você pode obter ganhos de desempenho se otimizar as regras para cada origem de dados. SoluçãoExistem vários níveis de otimização na ordem, desde o menos eficaz até o mais eficaz. Algumas dessas técnicas são facilmente implementadas. No entanto, outros são mais avançados e podem exigir assistência de serviços profissionais. Os serviços profissionais podem otimizar suas origens de dados do SIEM para você.
Para desativar as regras de eventos de alto valor de contagem de eventos baixos: Muitas origens de dados enviam vários logs, alguns dos quais são mais importantes do que outros. Os registros que são de baixa importância, mas com alto volume, reduzem a capacidade geral do evento por segundo receptor. Se um determinado tipo de evento tiver um alto número de eventos por segundo e os logs não forem importantes para o usuário, as regras responsáveis por esses eventos poderão ser desativadas. Essa ação não impede que o receptor colete e envie esses eventos para o ESM, impedindo que os eventos o façam com os dashboards do ESM. As alterações têm baixo impacto sobre o desempenho, mas podem ajudar a reduzir a quantidade de dados que o ESM precisa para fazer a varredura.
Cada origem de dados ASP contém uma seção em Propriedades para o tratamento de eventos que não correspondem a nenhuma regra. Essa opção pode ser definida como não fazer nada, efetuar logon como desconhecidaou ser analisada como syslog genérico. Essas opções podem ser úteis para a solução de problemas, mas recomendamos que você desative a configuração do syslog genérico. O motivo é que ele tem uma penalidade de desempenho considerável. Ele é destinado a uma solução de curto prazo ao configurar uma nova origem de dados que não tem os arquivos de regra necessários para todos os eventos. Basicamente, ele executa o evento após a origem de dados original e ASP regras uma segunda vez, mas adiciona em milhares de regras genéricas de syslog genérico. Como ele adiciona tantas regras extras a cada evento processado, há um grande impacto no desempenho. Ter apenas algumas dessas configurações de regras genéricas ativadas pode retardar todo o receptor.
Cada evento que se origina em uma origem de dados deve ser verificado em cada regra para aquela origem de dados até que uma correspondência seja encontrada. Quanto mais regras forem verificadas antes de uma correspondência, o desempenho da análise será mais lento. Ao alterar a ordem em que as regras são usadas para verificar cada evento, podemos reduzir o impacto sobre o desempenho na análise. A idéia é fazê-lo de forma que os eventos mais comuns tenham maior probabilidade de disparar suas regras de correspondência primeiro. Por exemplo, há 1.000 regras para uma origem de dados, e o evento mais comum é o tipo 51. Coloque as verificações de pedido de regra para o tipo 51 em vez de atrás das outras regras de 999.
As regras de filtro são semelhantes à desativação das regras de análise, com a exceção de que você bloqueia a coleta do evento original todos juntos. Os eventos coletados pelo receptor seguem essas regras de filtro e, se houver um evento que corresponda a um filtro, ele será removido no lado da coleção. Essa remoção significa que os eventos nunca são enviados para o pipeline de análise ou o ESM, e oferece o maior ganho de desempenho. Se um evento específico de baixo valor disparar em contagens mais altas do que eventos mais importantes, e não houver necessidade de rastrear esses eventos no ESM dashboard, uma regra de filtro faz sentido empregar. É importante observar que, enquanto uma regra de filtro remove eventos do receptor e do processamento do ESM, os registros são enviados para o ELM para fins de conformidade. Portanto, mesmo se um evento for filtrado receptor e do ESM, ele ainda poderá ser encontrado com uma pesquisa do ELM. As regras de filtragem são um tópico avançado e exigem que o usuário esteja familiarizado com a criação de expressões regulares de PCRE. Aviso de isenção de responsabilidadeO conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetadosIdiomas:Este artigo está disponível nos seguintes idiomas: |
|