यह लेख इवेंट लॉग्स को अनुकूलित करने और SIEM इन्गेस्टन प्रक्रियाओं के लिए अनुशंसित सर्वोत्तम प्रथाओं की व्याख्या करता है।
अपने सभी घटना लॉग्स को एक तृतीय-पक्ष सेवा में संग्रहीत करना और मूल्यवान और अनावश्यक लॉग के बीच भेदभाव किए बिना उन्हें SIEM में इन्गेस्टन करना अनावश्यक संग्रहीत और SIEM लागत, चेतावनी थकावट, और SIEM प्रदर्शन में गिरावट जैसी समस्याओं का कारण बन सकता है। यह लेख Cato ग्राहकों के लिए अनुशंसित सर्वोत्तम प्रथाओं का वर्णन करता है ताकि घटना लॉग्स संग्रहण और SIEM इन्गेस्टन प्रक्रियाओं को अनुकूलित किया जा सके और इन समस्याओं से बचा जा सके।
अनुशंसित सर्वोत्तम प्रथाएँ दो मुख्य वर्कफ़्लोज़ शामिल करती हैं:
-
भंडारण आवश्यकताओं को कम करने के लिए घटनाओं को संकुचित करना
-
SIEM में इन्गेस्टन करने पर सीमित मूल्य की घटनाओं को समाप्त करना
इन वर्कफ़्लोज़ के अतिरिक्त, हम Cato खातों के लिए कुछ सामान्य लॉगिंग सर्वोत्तम प्रथाओं को भी प्रस्तुत करते हैं।
Cato घटना लॉग के लिए आवश्यक भंडारण की मात्रा को अनुकूलित करने के लिए, आप निर्यात प्रक्रिया के दौरान घटना डेटा को संपीड़ित कर सकते हैं और API अनुरोध करने पर gzip संपीड़न सक्षम करके आवश्यक भंडारण को 95% तक कम कर सकते हैं।
Cato API के साथ काम करने के बारे में अधिक जानकारी के लिए, देखें Cato API के साथ आरंभ करना।
For example Python scripts, see the Cato Github repository.
यदि आप घटनाओं को संग्रहीत करते हैं पर उन्हें SIEM में इन्गेस्टन नहीं करते हैं, क्योंकि संपीड़न दर बहुत अधिक है ऐसे कुछ प्रकार की कम मूल्य वाली घटनाओं को समाप्त करके घटनाओं की संख्या को कम करने में कोई अधिक लाभ नहीं है। हालांकि, यदि आप घटना लॉग्स को SIEM में इन्गेस्टन करते हैं, तो इस प्रक्रिया को अनुकूलित करना और केवल मूल्यवान घटनाओं को इन्गेस्टन करना महत्वपूर्ण है, जैसा कि नीचे दिए गए कार्यप्रवाह में वर्णित है।
यह अनुभाग आपके घटनाओं का विश्लेषण करने और उनकी संख्या को कम कैसे किया जाएगा यह निर्णय लेने के लिए एक सुझाई गई कार्यप्रवाह प्रस्तुत करता है।
-
घटना प्रकार के अनुसार घटनाओं को समाप्त करें - घटनाएँ पृष्ठ पर, प्रत्येक घटना प्रकार के लिए घटनाओं की संख्या को देखने के लिए लोकप्रिय फ़ील्ड पैनल का उपयोग करें। अधिकांश मामलों में, उत्पन्न घटनाओं की बहुतायत सुरक्षा घटनाएं होती हैं। यदि आपको सुरक्षा घटनाओं का लॉग रखने की आवश्यकता नहीं है, तो आप उन्हें अपने eventsFeed प्रश्न या अपने घटना लॉग एकीकरण से फ़िल्टर कर सकते हैं और उन्हें SIEM में इन्गेस्टन से बच सकते हैं। अन्य घटना प्रकारों को समाप्त करने से कुल संख्या पर महत्वपूर्ण प्रभाव होने की संभावना नहीं है।
-
उप-प्रकार के अनुसार घटनाओं को समाप्त करें - यदि आपको सुरक्षा घटनाओं का लॉग रखने की आवश्यकता है, तो आप अपनी आवश्यकताओं के लिए अनावश्यक कुछ विशिष्ट उप-प्रकार की सुरक्षा घटनाओं को समाप्त कर सकते हैं। अनेक खातों के लिए, इंटरनेट और WAN फ़ायरवॉल घटनाएं सुरक्षा घटनाओं की बहुतायत का प्रतिनिधित्व करती हैं। यदि आप केवल सुरक्षा घटनाओं के अन्य प्रकारों में रुचि रखते हैं, तो आप अपने eventsFeed प्रश्न या अपने घटना लॉग एकीकरण से फ़ायरवॉल घटनाओं को फ़िल्टर करके और उन्हें SIEM में इन्गेस्टन करने से बचकर इन्गेस्टन की गई घटनाओं की संख्या को महत्वपूर्ण रूप से कम कर सकते हैं
-
अनुप्रयोग के अनुसार घटनाओं का उन्मूलन करें - मान लीजिए कि आपको फ़ायरवॉल घटनाओं को लॉग करना है, उन घटनाओं का एक महत्वपूर्ण भाग अनुप्रयोग ट्रैफ़िक द्वारा उत्पन्न हो सकता है जिसे आपको लॉग करना आवश्यक नहीं है। उदाहरण के लिए, DNS घटनाएँ अक्सर फ़ायरवॉल घटनाओं की एक बड़ी संख्या का प्रतिनिधित्व करती हैं और आपके लिए सीमित उपयोगिता हो सकती हैं। उपलब्ध फ़ील्ड्स अनुभाग में, प्रत्येक एप्लिकेशन के लिए घटनाओं की संख्या का विश्लेषण करें और ट्रैफ़िक की पहचान करें जिसे लॉग करना आवश्यक नहीं है। फिर अनुमति दें क्रिया और कोई घटना नहीं के साथ फ़ायरवॉल नियम बनाएं ताकि इन एप्लिकेशन के लिए घटनाओं की पीढ़ी को समाप्त किया जा सके। हम अनुशंसा करते हैं कि ऐसा कस्टम एप्लिकेशन बनाएं जो DNS सर्वरों के लिए गंतव्य IP के साथ परिभाषित किया गया है, जिनके लिए घटना ट्रैकिंग की आवश्यकता नहीं है। आप उस कस्टम एप्लिकेशन को अनुमति देने के लिए एक ही फ़ायरवॉल नियम बना सकते हैं।
अनुप्रयोगों और सेवाओं के अन्य उदाहरण जिन्हें आप घटना पीढ़ी के बिना अनुमति देना चाह सकते हैं, इनमें शामिल हैं:
-
सामान्य नेटवर्क निगरानी प्रोटोकॉल जैसे ICMP और SNMP
-
ऐसे एप्लिकेशन जिनमें बड़ी संख्या में घटनाएँ होती हैं जिन्हें सुरक्षित ट्रैफ़िक के रूप में जाना जाता है, जैसे कि Windows Update, Microsoft Teams और Zoom
-
-
संसाधन > इवेंट एकीकरण पृष्ठ में, Cato घटनाओं के साथ एकीकरण सक्षम करें। यहां तक कि अगर आपका खाता वर्तमान में घटनाओं के एकीकरण को बनाए नहीं रखता है, तो भी यह Cato को आपके खाता घटनाओं के फ़ीड में डेटा का विश्लेषण करके समस्याओं का निवारण करने में मदद करता है। इस सुविधा को सक्षम किए बिना डेटा समस्या निवारण के लिए उपलब्ध नहीं होगा।
-
ऐसे XDR कथाओं के लिए घटनाएँ उत्पन्न करने के लिए एक XDR प्रतिक्रिया नीति को कॉन्फ़िगर करें जो आपकी घटनाओं के फ़ीड में शामिल होंगी। डिफ़ॉल्ट रूप से, XDR कथाओं की कोई घटना उत्पन्न नहीं होती, घटनाएँ केवल कॉन्फ़िगर किए गए नियमों के अनुसार उत्पन्न होती हैं। XDR कथाओं के लिए प्रतिक्रिया नीति नियम बनाने और XDR घटनाओं के फ़ील्ड्स के बारे में अधिक जानकारी के लिए, देखें XDR कथाओं के लिए प्रतिक्रिया नीति बनाना।
-
यह ध्यान दें कि घटनाओं के पृष्ठ पर दिखाए गए घटनाओं की कुल संख्या और संग्रहण या SIEM में भेजी गई वास्तविक घटनाओं की संख्या के बीच मामूली असंगति हो सकती है। यह हो सकता है क्योंकि दिखाए गए नंबर को ऊपर की ओर ले जाया जा सकता है, या क्योंकि कभी-कभी कई घटनाएं एक ही निर्यातित घटना लॉग में जोड़ी जाती हैं। यह तब होता है जब वही घटना एक मिनट के समय अवधि में एक से अधिक बार घटित हुई। अधिक जानकारी के लिए, देखें अपने नेटवर्क में घटनाओं का विश्लेषण।
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.