Mejores prácticas para registros de eventos de Cato e ingesta

Este artículo explica las mejores prácticas recomendadas para optimizar registros de eventos y también para los procesos de ingesta de SIEM.

Visión general

Almacenar todos sus registros de eventos en un servicio de terceros e ingerirlos en un SIEM sin discriminar entre registros valiosos e innecesarios puede llevar a problemas como almacenamiento y costos de SIEM innecesarios, fatiga de alertas y degradación del rendimiento de SIEM. Este artículo describe las mejores prácticas recomendadas para los clientes de Cato para optimizar tanto el almacenamiento de registros de eventos como los procesos de ingesta de SIEM y evitar estos problemas.

Las mejores prácticas recomendadas involucran dos flujos de trabajo principales:

  • Comprimir eventos para reducir los requisitos de almacenamiento

  • Eliminar eventos de valor limitado al ingresarlos en un SIEM

Además de estos flujos de trabajo, también presentamos algunas prácticas generales recomendadas para registros de Cato.

Compresión de eventos para optimización de almacenamiento

Para optimizar la cantidad de almacenamiento requerido para registros de eventos de Cato, puede comprimir los datos de eventos durante el proceso de exportación y reducir el almacenamiento requerido hasta un 95% habilitando la compresión gzip al realizar solicitudes de API.

Para más información sobre cómo trabajar con la API de Cato, consulte Getting Started with the Cato API.

For example Python scripts, see the Cato Github repository.

Si almacena eventos pero no los ingiere en un SIEM, dado que la tasa de compresión es muy alta, hay poco beneficio en reducir el número de eventos eliminando ciertos tipos de eventos de bajo valor. Sin embargo, si también ingiere los registros de eventos en un SIEM, es importante optimizar ese proceso e ingerir solo eventos valiosos, como se describe en el flujo de trabajo a continuación.

Eliminación de eventos innecesarios

Esta sección presenta un flujo de trabajo sugerido para analizar sus eventos y decidir cómo reducir su número.

  1. Elimine eventos según el tipo de evento - En la página de Eventos, use el panel de Campos Populares para ver el número de eventos para cada tipo de evento. En la mayoría de los casos, la gran mayoría de los eventos generados son eventos de seguridad. Si no necesita registrar eventos de seguridad, puede filtrarlos de su consulta eventsFeed o de la integración de su registro de eventos y evitar ingerirlos en su SIEM. Eliminar otros tipos de eventos no es probable que tenga un impacto significativo en el número total.

    Event_Logging_BP_-_Event_Type.png

  2. Elimine eventos según el sub-tipo - Si necesita registrar eventos de seguridad, aún puede ser capaz de eliminar sub-tipos específicos de eventos de seguridad que sean innecesarios para sus necesidades. Para muchas cuentas, los eventos de firewall de Internet y WAN representan la gran mayoría de eventos de seguridad. Si solo está interesado en otros tipos de eventos de seguridad, puede reducir significativamente el número de eventos ingeridos filtrando los eventos de firewall de su consulta eventsFeed o de la integración de su registro de eventos y evitando ingerirlos en su SIEM

    Event_Logging_BP_-_Sub-Type_2.png

  3. Elimine eventos según la aplicación - Asumiendo que necesita registrar eventos de firewall, una proporción significativa de esos eventos puede ser generada por tráfico de aplicaciones que no necesita registrar. Por ejemplo, los eventos de DNS a menudo representan un gran número de eventos de firewall y pueden tener una utilidad limitada para usted. En la sección de Campos Disponibles, analice el número de eventos para cada aplicación e identifique el tráfico que no necesita registrar. Luego, cree reglas de firewall con la acción Permitir y sin Evento para eliminar la generación de eventos para estas aplicaciones. Recomendamos crear una Aplicación Personalizada definida con las IP de Destino para los servidores DNS para los que no requiere seguimiento con eventos. Puede entonces crear una única regla de firewall para permitir esa Aplicación Personalizada.

    Event_Logging_BP_-_Application.png

    Otros ejemplos de aplicaciones y servicios que puede querer permitir sin generación de eventos incluyen:

    • Protocolos comunes de monitoreo de red como ICMP y SNMP

    • Aplicaciones con grandes números de eventos que se conocen como tráfico seguro, como Windows Update, Microsoft Teams y Zoom

Mejores prácticas generales para registros de Cato

  • En la página de Recursos > Integraciones de Eventos, habilite la integración con eventos de Cato. Incluso si su cuenta no mantiene actualmente una integración de eventos, esto permite que Cato le ayude a solucionar problemas analizando los datos en el feed de eventos de su cuenta. Los datos no estarán disponibles para la solución de problemas sin habilitar esta función.

    Event_Logging_BP_-_Enable_Integration.png

  • Configure una política de respuesta XDR para generar eventos para historias XDR que se incluirán en su feed de eventos. Por defecto, no se generan eventos de historia XDR, los eventos solo se generan según las reglas configuradas. Para más información sobre la creación de reglas de políticas de respuesta XDR y los campos de eventos XDR, consulte Creating the Response Policy for XDR Stories.

  • Tenga en cuenta que puede haber una ligera discrepancia entre el número total de eventos que se muestra en la página de Eventos y el número real de eventos enviados a almacenamiento o a un SIEM. Esto puede suceder porque el número mostrado puede redondearse hacia arriba, o porque a veces, múltiples eventos se combinan en un único registro de evento exportado. Esto ocurre cuando el mismo evento se produjo más de una vez en la franja de tiempo de un minuto. Para más información, consulte Analyzing Events in Your Network.

    Event_Logging_BP_-_Total_Events.png

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios