Cet article explique les meilleures pratiques recommandées pour optimiser les journaux d'événements et aussi pour les processus d'ingestion SIEM.
Stocker tous vos journaux d'événements dans un service tiers et les ingérer dans un SIEM sans discriminer entre les journaux précieux et inutiles peut entraîner des problèmes tels que des coûts de stockage et de SIEM inutiles, la fatigue des alertes et la dégradation des performances du SIEM. Cet article décrit les meilleures pratiques recommandées pour les clients de Cato afin d'optimiser à la fois le stockage des journaux d'événements et les processus d'ingestion SIEM et éviter ces problèmes.
Les meilleures pratiques recommandées impliquent deux principaux flux de travail :
-
Compresser les événements pour réduire les besoins en stockage
-
Éliminer les événements de valeur limitée lors de l'ingestion dans un SIEM
En plus de ces flux de travail, nous présentons également quelques meilleures pratiques générales pour les comptes Cato.
Pour optimiser la quantité de stockage nécessaire pour les journaux d'événements de Cato, vous pouvez compresser les données d'événements lors du processus d'exportation et réduire le stockage requis jusqu'à 95 % en activant la compression gzip lors des demandes d'API.
Pour plus d'informations sur l'utilisation de l'API Cato, consultez Getting Started with the Cato API.
For example Python scripts, see the Cato Github repository.
Si vous stockez des événements mais ne les ingérez pas dans un SIEM, étant donné que le taux de compression est très élevé, il y a peu d'avantage à réduire le nombre d'événements en éliminant certains types d'événements de faible valeur. Cependant, si vous ingérez également les journaux d'événements dans un SIEM, il est important d'optimiser ce processus et d'ingérer uniquement les événements de valeur, comme décrit dans le flux de travail ci-dessous.
Cette section présente un flux de travail suggéré pour analyser vos événements et décider comment réduire leur nombre.
-
Éliminez les événements selon le type d'événement - Sur la page Événements, utilisez le panneau Champs Populaires pour voir le nombre d'événements pour chaque type d'événement. Dans la plupart des cas, la grande majorité des événements générés sont des événements de sécurité. Si vous n'avez pas besoin d'enregistrer les événements de sécurité, vous pouvez les filtrer de votre requête eventsFeed ou de votre intégration de journal d'événements et éviter de les ingérer dans votre SIEM. Éliminer d'autres types d'événements n'est probablement pas significatif sur le nombre total.
-
Éliminez les événements selon le sous-type - Si vous devez enregistrer les événements de sécurité, vous pouvez toujours éliminer des sous-types spécifiques d'événements de sécurité qui sont inutiles pour vos besoins. Pour de nombreux comptes, les événements firewall Internet et WAN représentent la grande majorité des événements de sécurité. Si vous êtes uniquement intéressé par d'autres types d'événements de sécurité, vous pouvez réduire considérablement le nombre d'événements ingérés en filtrant les événements de firewall de votre requête eventsFeed ou de l'intégration de votre journal d'événements et en évitant de les ingérer dans votre SIEM
-
Éliminez les événements selon l'application - En supposant que vous devez enregistrer les événements de firewall, une proportion significative de ces événements peut être générée par un trafic applicatif que vous n'avez pas besoin d'enregistrer. Par exemple, les événements DNS représentent souvent un grand nombre d'événements de firewall et peuvent avoir une utilité limitée pour vous. Dans la section Champs Disponibles, analysez le nombre d'événements pour chaque application et identifiez le trafic que vous n'avez pas besoin d'enregistrer. Ensuite, créez des règles de firewall avec l'action Autoriser et aucun événement pour éliminer la génération d'événements pour ces applications. Nous recommandons de créer une Application Personnalisée définie avec les IP de Destination pour les serveurs DNS pour lesquels vous ne nécessitez pas de suivi avec des événements. Vous pouvez ensuite créer une seule règle de firewall pour autoriser cette Application Personnalisée.
D'autres exemples d'applications et de services que vous pourriez vouloir autoriser sans génération d'événements incluent :
-
Protocoles courants de surveillance de réseau tels que ICMP et SNMP
-
Applications avec un grand nombre d'événements connues comme trafic sûr, telles que Windows Update, Microsoft Teams et Zoom
-
-
Sur la page Ressources > Intégrations d'Événements, activez l'intégration avec les événements Cato. Même si votre compte ne maintient pas actuellement une intégration d'événements, cela permet à Cato de vous aider à résoudre les problèmes en analysant les données de votre flux d'événements de compte. Les données ne seront pas disponibles pour le dépannage sans activer cette fonctionnalité.
-
Configurez une politique de réponse XDR pour générer des événements pour les histoires XDR qui seront incluses dans votre flux d'événements. Par défaut, aucun événement d'histoire XDR n'est généré, les événements ne sont générés que selon les règles configurées. Pour plus d'informations sur la création de règles de politique de réponse XDR et les champs d'événements XDR, voir Creating the Response Policy for XDR Stories.
-
Notez qu'il peut y avoir une légère disparité entre le nombre total d'événements affichés sur la page Événements et le nombre réel d'événements envoyés au stockage ou à un SIEM. Cela peut se produire car le nombre indiqué peut être arrondi à la hausse, ou parce que parfois plusieurs événements sont combinés en un seul journal d'événements exporté. Cela se produit lorsque le même événement s'est produit plus d'une fois pendant la période d'une minute. Pour plus d'informations, consultez Analyzing Events in Your Network.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.