Ajuste de los orígenes de datos de SIEM para mejorar el rendimiento
Última modificación: 2022-07-19 12:43:52 Etc/GMT
Descargo de responsabilidad
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas:
Découvrez comment un écosystème XDR qui s'adapte en permanence peut dynamiser votre entreprise.
Bryan Palma, CEO de Trellix, explica la imperiosa necesidad de contar con una seguridad que aprenda y evolucione.
Descargue el informe Magic Quadrant, que evalúa a los 19 proveedores en función de su amplitud de visión y capacidad de ejecución.
Según Gartner, "XDR es una tecnología emergente que ofrece funciones mejoradas de prevención, detección y respuesta a amenazas.".
¿A qué amenazas de ciberseguridad deberían prestar atención las empresas durante 2022?
En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
Dos líderes reconocidos del mercado de la ciberseguridad han unido fuerzas para crear un mundo digital resiliente.
Bryan Palma, CEO de Trellix, explica la imperiosa necesidad de contar con una seguridad que aprenda y evolucione.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Ajuste de los orígenes de datos de SIEM para mejorar el rendimiento
Artículos técnicos ID:
KB93502
Última modificación: 2022-07-19 12:43:52 Etc/GMT Entorno
Manager de seguridad empresarial (ESM) Enterprise Event Receiver ResumenPuede optimizar un receptor de eventos de empresa y ESM para obtener el mejor rendimiento de origen de datos.
De forma predeterminada, ESM asigna nuevos orígenes de datos con todas las reglas disponibles. Además, trata cada regla con la misma prioridad, incluso si el número de eventos reales no es el mismo que el de la regla a la regla. Este enfoque facilita la adición rápida de orígenes de datos al entorno SIEM. No obstante, puede obtener un aumento del rendimiento si optimiza las reglas para cada origen de datos. SoluciónExisten varios niveles de optimización en orden, desde la menos eficaz a la más efectiva. Algunas de estas técnicas se implementan con facilidad. No obstante, otros son más avanzados y es posible que necesiten asistencia de los servicios profesionales. Los servicios profesionales pueden optimizar sus orígenes de datos de SIEM para usted.
Para desactivar las reglas de eventos de recuento de eventos de valor reducido y alto: Muchos orígenes de datos envían varios registros, algunos de los cuales son más importantes que otros. Los registros de importancia baja, pero de gran volumen, reducen la capacidad global de evento por segundo del receptor. Si un tipo de evento determinado tiene un número elevado de eventos por segundo, y los registros no son importantes para el usuario, las reglas responsables de esos eventos se pueden desactivar. Esta acción no impide que el receptor recopile y envíe esos eventos al ESM, en lugar de evitar que los eventos se hagan a los paneles de ESM. Los cambios tienen un impacto bajo en el rendimiento, pero pueden ayudar a reducir la cantidad de datos que el ESM necesita examinar.
Cada origen de datos ASP contiene una sección en propiedades para controlar los eventos que no coinciden con ninguna regla. Esta opción se puede establecer en no hacer nada, registrar como desconocidao analizar como syslog genérico. Estas opciones pueden resultar útiles para la solución de problemas, pero se recomienda desactivar la opción genérica syslog. El motivo es que tiene una penalización de rendimiento considerable. Está pensada como una solución a corto plazo al configurar un nuevo origen de datos que no tiene los archivos de regla necesarios para todos los eventos. Básicamente, ejecuta el evento más allá del origen de datos original y las reglas de ASP por segunda vez, pero añade miles de reglas genéricas de syslog adicionales. Dado que agrega reglas adicionales a cada evento procesado, existe un gran impacto en el rendimiento. El hecho de tener algunas de estas opciones de configuración de reglas genéricas activadas puede ralentizar el receptor completo.
Cada evento que llegue a un origen de datos se debe comprobar para cada regla de ese origen de datos hasta que se encuentre una coincidencia. Las más reglas con las que debe comprobarse antes de que coincidan, menor será el rendimiento de análisis. Al cambiar el orden en el que se utilizan las reglas para comprobar cada evento, podemos reducir el impacto en el rendimiento del análisis. La idea es hacerlo de forma que los eventos más habituales tengan más probabilidades de activar primero sus reglas coincidentes. Por ejemplo, hay 1.000 reglas para un origen de datos y el evento más común es el tipo 51. Coloque las comprobaciones de orden de reglas para el tipo 51 en lugar de las 999 otras reglas.
Las reglas de filtrado son similares a desactivar las reglas de análisis, excepto que se bloquea la recopilación del evento original todos juntos. Los eventos recopilados por el receptor siguen estas reglas de filtrado y, si llega un evento que coincide con un filtro, se elimina en el lado de la recopilación. Esta eliminación implica que los eventos nunca se envían a la canalización de análisis ni al ESM, y ofrece la mayor ganancia de rendimiento. Si un evento concreto de pocos valores se activa en un número superior al de eventos más importantes y no hay necesidad de rastrear estos eventos en el panel de ESM, una regla de filtrado tiene sentido emplear. Es importante tener en cuenta que, mientras que una regla de filtrado elimina eventos del receptor y el procesamiento de ESM, los registros se envían al ELM para la conformidad. Por tanto, incluso si un evento se filtra desde el receptor y el ESM, aún se puede encontrar con una búsqueda de ELM. Las reglas de filtrado son un tema avanzado y requieren que el usuario esté familiarizado con la escritura de expresiones regulares de PCRE. Descargo de responsabilidadEl contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicadosIdiomas:Este artículo se encuentra disponible en los siguientes idiomas: |
|