أفضل الممارسات لسجلات أحداث Cato وعمليات الاستخلاص

توضح هذه المقالة الممارسات المثلى الموصى بها لتحسين سجلات الأحداث وكذلك عمليات الاستخلاص في نظام SIEM.

نظرة عامة

تخزين كافة سجلات الأحداث في خدمة خارجية واستخلاصها في نظام SIEM دون التمييز بين السجلات القيمة وغير الضرورية يمكن أن يؤدي إلى مشكلات مثل تكلفة التخزين غير الضروري وتكلفة نظام SIEM، الإجهاد من التنبيهات، وتدهور الأداء لنظام SIEM. تصف هذه المقالة الممارسات المثلى الموصى بها لعملاء Cato لتحسين كل من تخزين سجلات الأحداث وعمليات الاستخلاص في نظام SIEM وتجنب هذه المشكلات.

تتضمن الممارسات المثلى الموصى بها إثنين من مسارات العمل الرئيسية:

  • ضغط الأحداث لتقليل متطلبات التخزين

  • إزالة الأحداث ذات القيمة المحدودة عند الاستخلاص في نظام SIEM

بالإضافة إلى مسارات العمل هذه، نقدم أيضًا بعض أفضل الممارسات العامة للتسجيل لحسابات Cato.

ضغط الأحداث لتحسين التخزين

لتحسين كمية التخزين المطلوبة لسجلات أحداث Cato، يمكنك ضغط بيانات الأحداث أثناء عملية التصدير وتقليل التخزين المطلوب بنسبة تصل إلى 95% من خلال تمكين ضغط gzip عند إجراء طلبات API.

لمزيد من المعلومات حول العمل مع Cato API، انظر البدء مع Cato API.

For example Python scripts, see the Cato Github repository.

إذا قمت بتخزين الأحداث ولكن لم تقم باستخلاصها في نظام SIEM، نظرًا لأن معدل الضغط مرتفع جدًا فلا يوجد فائدة تذكر في تقليل عدد الأحداث عن طريق إزالة أنواع معينة من الأحداث ذات القيمة المنخفضة. ومع ذلك، إذا قمت أيضًا باستخلاص سجلات الأحداث في نظام SIEM، فإنه من المهم تحسين تلك العملية واستخلاص الأحداث القيمة فقط، كما هو موضح في مسار العمل أدناه.

إزالة الأحداث غير الضرورية

يقدم هذا القسم مسار عمل مقترح لتحليل الأحداث الخاصة بك وتحديد كيفية تقليل عددها.

  1. إزالة الأحداث وفقًا لنوع الحدث - في صفحة الأحداث، استخدم لوحة الحقول الشائعة لعرض عدد الأحداث لكل نوع حدث. في معظم الحالات، تمثل الأغلبية العظمى من الأحداث المولدة أحداث الأمان. إذا لم يكن لديك حاجة لتسجيل أحداث الأمان، يمكنك تصفيتها من استعلام eventsFeed الخاص بك أو تكامل سجلات الأحداث الخاصة بك وتجنب استخلاصها إلى نظام SIEM. من غير المحتمل أن يؤدي إزالة أنواع الأحداث الأخرى إلى تأثير كبير على العدد الإجمالي.

    نوع الحدث.png

  2. إزالة الأحداث وفقًا للنوع الفرعي - إذا كنت بحاجة إلى تسجيل أحداث الأمان، فإنه لا يزال بإمكانك إزالة أنواع فرعية معينة من أحداث الأمان التي ليست ضرورية لاحتياجاتك. بالنسبة للعديد من الحسابات، تمثل أحداث جدار الحماية للإنترنت وشبكة WAN الأغلبية العظمى من أحداث الأمان. إذا كنت مهتمًا فقط بأنواع أخرى من أحداث الأمان، يمكنك تقليل عدد الأحداث المستخلصة بشكل كبير عن طريق تصفية أحداث الجدار الناري من استعلام eventsFeed الخاص بك أو تكامل سجلات الأحداث وتجنب استخلاصها إلى نظام SIEM

    النوع الفرعي للحدث 2.png

  3. إزالة الأحداث وفقًا للتطبيق - بافتراض أنك بحاجة لتسجيل أحداث الجدار الناري، قد يكون جزء كبير من تلك الأحداث ناتج عن حركة مرور التطبيقات التي لا تحتاج إلى تسجيلها. على سبيل المثال، غالبًا ما تمثل أحداث DNS عددًا كبيرًا من أحداث الجدار الناري وقد لا تكون ذات فائدة كبيرة لك. في قسم الحقول المتاحة، قم بتحليل عدد الأحداث لكل تطبيق وحدد حركة المرور التي لا تحتاج إلى تسجيلها. ثم أنشئ قواعد جدار ناري مع إجراء السماح ودون حدث لإزالة توليد الأحداث لهذه التطبيقات. نوصي بإنشاء تطبيق مخصص معرفًا مع عناوين الـ IP الوجهة لخوادم DNS التي لا تحتاج إلى تتبعها بالأحداث. وبعد ذلك يمكنك إنشاء قاعدة جدار ناري واحدة للسماح لهذا التطبيق المخصص.

    تسجيل التطبيقات.png

    تشمل أمثلة أخرى للتطبيقات والخدمات التي قد ترغب في السماح بها دون توليد الأحداث:

    • البروتوكولات الشائعة لمراقبة الشبكة مثل ICMP وSNMP

    • التطبيقات ذات الأعداد الكبيرة من الأحداث والمعروفة بأنها حركة مرور آمنة، مثل تحديثات Windows وMicrosoft Teams وZoom

أفضل ممارسات التسجيل العامة لحسابات Cato

  • في صفحة الموارد > تكامل الأحداث، فعّل التكامل مع أحداث Cato. حتى وإن كان حسابك لا يحتفظ حاليًا بتكامل الأحداث، فإن ذلك يتيح لـ Cato مساعدتك في استكشاف المشكلات من خلال تحليل البيانات في تغذية أحداث حسابك. لن تتاح البيانات لاستكشاف الأخطاء وإصلاحها دون تفعيل هذه الميزة.

    تمكين التكامل.png

  • قم بتكوين سياسة استجابة XDR لتوليد الأحداث لقصص XDR التي سيتم تضمينها في تغذية الأحداث الخاصة بك. افتراضيًا، لا يتم توليد أحداث القصة XDR، يتم توليد الأحداث فقط وفقًا للقواعد المكونة. لمزيد من المعلومات حول إنشاء قواعد سياسة الاستجابة لـ XDR وحقول الأحداث XDR، انظر إنشاء سياسة الاستجابة لقصص XDR.

  • يرجى ملاحظة أنه قد يكون هناك فارق طفيف بين العدد الإجمالي للأحداث المعروضة في صفحة الأحداث وعدد الأحداث الفعلي المرسل إلى التخزين أو نظام SIEM. يمكن أن يحدث هذا لأن العدد المعروض يمكن أن يحدد برقم أعلى، أو لأنه في بعض الأحيان يتم دمج أحداث متعددة في سجل حدث واحد مُصدر. يحدث هذا عندما يحدث نفس الحدث أكثر من مرة خلال إطار زمني يبلغ دقيقة واحدة. لمزيد من المعلومات، انظر تحليل الأحداث في شبكتك.

    إجمالي الأحداث.png

هل كان هذا المقال مفيداً؟

2 من 2 وجدوا هذا مفيداً

لا توجد تعليقات