Cato ইভেন্ট লগ এবং ইনগেস্টনের জন্য সর্বোত্তম অনুশীলনসমূহ

এই প্রবন্ধটি ইভেন্ট লগগুলি অপটিমাইজ করার জন্য এবং এছাড়াও SIEM ইনগেস্টন প্রক্রিয়াগুলির জন্য সুপারিশকৃত সর্বোত্তম অনুশীলনগুলো ব্যাখ্যা করে।

সারসংক্ষেপ

সমস্ত ইভেন্ট লগ একটি তৃতীয়-পক্ষ পরিষেবাতে রাখতে এবং মূল্যবান লগ এবং অপ্রয়োজনীয়গুলির মধ্যে পার্থক্য না করে সেগুলিকে SIEM-এ ইনগেস্টন করতে গেলে অপ্রয়োজনীয় স্টোরেজ এবং SIEM খরচ, সতর্কতা ক্লান্তি এবং SIEM পারফরম্যান্সের অবক্ষয় সহ কয়েকটি সমস্যার উদ্ভব হতে পারে। এই প্রবন্ধটি Cato গ্রাহকদের জন্য সুপারিশকৃত সর্বোত্তম অনুশীলনগুলি বর্ণনা করে যা ইভেন্ট লগ স্টোরেজ এবং SIEM ইনগেস্টন প্রক্রিয়াগুলি অপটিমাইজ করতে এবং এই সমস্যাগুলি এড়াতে সাহায্য করে।

সুপারিশকৃত সর্বোত্তম অনুশীলন দুটি প্রধান কর্মপ্রবাহের অন্তর্ভুক্ত:

  • স্টোরেজের প্রয়োজনীয়তা কমাতে ঘটনাবলী কমপ্রেস করা

  • SIEM-এ ইনগেস্ট করার সময় কম মানের ঘটনাগুলি অপসারণ করা

এই কর্মপ্রবাহের সাথে সাথে, আমরা Cato অ্যাকাউন্টগুলির জন্য কিছু সাধারণ লগিং সর্বোত্তম অনুশীলনও উপস্থাপন করি।

স্টোরেজ অপ্টিমাইজেশনের জন্য ঘটনাবলী কমপ্রেস করা

Cato ইভেন্ট লগগুলির জন্য প্রয়োজনীয় স্টোরেজ পরিমাণ অপ্টিমাইজ করতে, আপনি এক্সপোর্ট প্রক্রিয়ার সময় ঘটনা ডেটা কমপ্রেস করতে পারেন এবং API অনুরোধ করার সময় gzip কম্প্রেশন সক্রিয় করে প্রয়োজনীয় স্টোরেজ 95% পর্যন্ত কমাতে পারেন।

Cato API এর সাথে কাজ করার বিষয়ে আরও তথ্যের জন্য, দেখুন Cato API এর সাথে শুরু করা

For example Python scripts, see the Cato Github repository.

যদি আপনি ঘটনাগুলি স্টোরেজ করেন কিন্তু সেগুলিকে SIEM এ ইনগেস্ট না করেন, তাহলে যেহেতু কমপ্রেশন হার খুব বেশি তাই কিছু কম মূল্যবান ঘটনাগুলি অপসারণ করে ঘটনাগুলির সংখ্যা হ্রাস করার খুব একটা সুবিধা নেই। তবে, যদি আপনি ঘটনাগুলি SIEM এ ইনগেস্টও করেন, তাহলে প্রক্রিয়াটি অপ্টিমাইজ করা এবং কেবলমাত্র মূল্যবান ঘটনাগুলি ইনগেস্ট করা গুরুত্বপূর্ণ, যেমনটি নিচে দেওয়া কর্মপ্রবাহে বর্ণনা করা হয়েছে।

অপ্রয়োজনীয় ঘটনাগুলি অপসারণ করা

এই বিভাগটি আপনার ঘটনার বিশ্লেষণ করার এবং কিভাবে তাদের সংখ্যা হ্রাস করা যাবে তা নির্ধারণ করার জন্য একটি প্রস্তাবিত কর্মপ্রবাহ উপস্থাপন করে।

  1. ঘটনার প্রকার অনুযায়ী ঘটনাগুলি অপসারণ করুন - ঘটনাগুলি পৃষ্ঠায়, প্রতিটি ঘটনার প্রকারের জন্য জনপ্রিয় ক্ষেত্রগুলি প্যানেল ব্যবহার করুন। বেশিরভাগ ক্ষেত্রে, উৎপন্ন ঘটনার সংখ্যাগুলির মধ্যে বিশাল সংখ্যাগরিষ্ঠতা নিরাপত্তা ঘটনা। যদি আপনার নিরাপত্তা ঘটনাগুলি লগ করার প্রয়োজন না হয়, আপনি সেগুলি আপনার eventsFeed অনুসন্ধান বা আপনার ঘটনা লগ ইন্টিগ্রেশন থেকে ফিল্টার করতে পারেন এবং সেগুলিকে আপনার SIEM এ ইনগেস্ট করতে এড়াতে পারেন। অন্যান্য ঘটনার প্রকার অপসারণ করা মোট সংখ্যার উপর গুরুত্বপূর্ণ প্রভাব ফেলার সম্ভাবনা কম।

    Event_Logging_BP_-_ইভেন্ট_প্রকার.png

  2. সাব-টাইপ অনুযায়ী ঘটনাসমূহ অপসারণ করুন - আপনি যদি নিরাপত্তা ঘটনাসমূহ লগ করতে চান, তবে আপনার প্রয়োজনের জন্য অপ্রয়োজনীয় নির্দিষ্ট নিরাপত্তা ঘটনা সাব-টাইপসমূহ অপসারণ করতে সক্ষম হবেন।. অনেক অ্যাকাউন্টের জন্য, ইন্টারনেট এবং WAN ফায়ারওয়াল ঘটনাসমূহ নিরাপত্তা ঘটনার বিশাল সংখ্যা উপস্থাপন করে।. যদি আপনি নিরাপত্তা ঘটনাসমূহের অন্য ধরণের প্রতি আগ্রহী হন, তাহলে আপনি আপনার ইভেন্ট ফিড ক্যোয়ারী বা ইভেন্ট লগ ইন্টিগ্রেশন থেকে ফায়ারওয়াল ঘটনা ফিল্টার করে এবং সেগুলিকে SIEM এর মধ্যে অন্তর্ভুক্ত না করে উপস্থাপন করা ঘটনা সংখ্যা উল্লেখযোগ্যভাবে কমিয়ে ফেলতে পারেন।

    Event_Logging_BP_-_Sub-Type_2.png

  3. অ্যাপ্লিকেশন অনুযায়ী ঘটনাসমূহ অপসারণ করুন - ধরুন আপনি ফায়ারওয়াল ঘটনাসমূহ লগ করার প্রয়োজন, এই ঘটনাসমূহের একটি উল্লেখযোগ্য অনুপাত এমন অ্যাপ্লিকেশন ট্রাফিক দ্বারা উত্পন্ন হতে পারে যা আপনাকে লগ করতে হবে না।. উদাহরণস্বরূপ, ডিএনএস ঘটনাসমূহ প্রায়শই বড় সংখ্যায় ফায়ারওয়াল ঘটনাসমূহ উপস্থাপন করে এবং আপনার জন্য সীমিত ব্যবহারকারিতা থাকতে পারে।. উপলব্ধ ক্ষেত্রসমূহ অংশে, প্রত্যেক অ্যাপ্লিকেশনের জন্য ঘটনাসংখ্যা বিশ্লেষণ করুন এবং ট্রাফিক সনাক্ত করুন যা আপনাকে লগ করতে হবে না।. তারপর অনুমতি ক্রিয়া এবং ইভেন্ট ছাড়াই ফায়ারওয়াল নিয়ম তৈরি করুন যাতে এই অ্যাপ্লিকেশনগুলির জন্য ঘটনা উৎপাদন দূর হয়ে যায়।. আমরা একটি কাস্টম অ্যাপ্লিকেশন তৈরি করার পরামর্শ দিচ্ছি যা সেই ডিএনএস সার্ভারগুলির জন্য গন্তব্য আইপি দিয়ে সংজ্ঞায়িত যা আপনাদের ইভেন্ট ট্র্যাকিংয়ের প্রয়োজন নেই।. এরপর আপনি সেই কাস্টম অ্যাপ্লিকেশন অনুমোদনের জন্য একটি একক ফায়ারওয়াল নিয়ম তৈরি করতে পারেন।.

    Event_Logging_BP_-_Application.png

    ঘটনা উৎপাদন ছাড়াই অনুমোদন দিতে ইচ্ছুক অন্যান অ্যাপ্লিকেশন এবং পরিষেবার উদাহরণগুলোর মধ্যে অন্তর্ভুক্ত হতে পারে:

    • সাধারণ নেটওয়ার্ক পর্যবেক্ষণ প্রোটোকল যেমন ICMP এবং SNMP

    • এগুলোর মধ্যে বড় সংখ্যায় ঘটনা হওয়া তবুও সুরক্ষিত ট্র্যাফিক হিসেবে পরিচিত অ্যাপ্লিকেশন যেমন উইন্ডোজ আপডেট, মাইক্রোসফট টিমস এবং জুম অন্তর্ভুক্ত হতে পারে।

Cato অ্যাকাউন্টগুলির জন্য সাধারণ লগিং সর্বোত্তম অনুশীলন

  • সম্পদসমূহ > ইভেন্ট ইন্টিগ্রেশন পৃষ্ঠায়, Cato ইভেন্টগুলির সাথে ইন্টিগ্রেশন সক্রিয় করুন।. এমনকি যদি আপনার অ্যাকাউন্ট বর্তমানে ইভেন্ট ইন্টিগ্রেশন বজায় না রাখে, এটি Cato কে আপনাকে ডেটা বিশ্লেষণ করে সমস্যাসমূহ সমাধান করতে সাহায্য করে।. এই ফিচারটি সক্রিয় না করলে ডেটা সমস্যা সমাধানের জন্য উপলব্ধ হবে না।.

    Event_Logging_BP_-_Enable_Integration.png

  • আপনার ইভেন্ট ফিডে অন্তর্ভুক্ত হবে এমন XDR গল্পগুলির জন্য ঘটনা উৎপাদনের জন্য একটি XDR প্রতিক্রিয়া নীতি কনফিগার করুন।. ডিফল্ট হিসেবে, কোন XDR গল্পের ইভেন্ট উৎপন্ন হয় না, ঘটনা শুধুমাত্র কনফিগারকৃত নিয়ম অনুযায়ী উৎপাদন হয়।. XDR গল্পের জন্য প্রতিক্রিয়া নীতি তৈরি করা এবং XDR ঘটনা ক্ষেত্রসমূহ সম্পর্কে আরও জানতে, Creating the Response Policy for XDR Stories দেখুন।.

  • নোট করুন যে ইভেন্ট পৃষ্ঠায় প্রদর্শিত মোট ঘটনাসংখ্যা এবং সঞ্চয়স্থান বা SIEM এর জন্য পাঠানো প্রকৃত ঘটনাসংখ্যার মধ্যে সামান্য অসামঞ্জস্য থাকতে পারে।. এটি ঘটতে পারে কারণ প্রদর্শিত সংখ্যাটি উপরে গোনা যেতে পারে, অথবা কারণ কখনও কখনও একাধিক ইভেন্ট একটি একক রপ্তানি করা ইভেন্ট লগে সংযুক্ত করা হয়। এটি ঘটে যখন একই ইভেন্ট এক মিনিটের সময়ের মধ্যে একাধিক বার ঘটে। আরও তথ্যের জন্য, Analyzing Events in Your Network দেখুন।

    Event_Logging_BP_-_Total_Events.png

এই নিবন্ধটি কি সহায়ক ছিল?

2 জনের মধ্যে 2 জন এটিকে সহায়ক বলে মনে করেছেন

0 মন্তব্য