Catoイベントログとインジェスチョンのベストプラクティス

この記事では、イベントログの最適化とSIEMインジェスチョンプロセスのための推奨ベストプラクティスについて説明します。

概要

すべてのイベントログをサードパーティのサービスに保存し、貴重なログと不必要なログを区別せずにSIEMにインジェスチョンすると、不必要なストレージとSIEMコスト、アラート疲れ、SIEM性能の低下などの問題が発生する可能性があります。 この記事では、Cato顧客向けに、イベントログストレージとSIEMインジェスチョンプロセスを最適化し、これらの問題を回避するための推奨ベストプラクティスについて説明します。

推奨ベストプラクティスには、2つのメインワークフローが含まれます:

  • ストレージ要件を減らすためにイベントを圧縮する

  • SIEMにインジェスチョンする際に価値の低いイベントを排除する

これらのワークフローに加えて、Catoアカウント向けの一般的なログ取得のベストプラクティスも紹介します。

ストレージ最適化のためのイベント圧縮

Catoイベントログに必要なストレージ量を最適化するには、エクスポートプロセス中にイベントデータを圧縮し、APIリクエスト時にgzip圧縮を有効化することで、必要なストレージを最大95%削減できます。

Cato APIの操作について詳しくは、Cato APIの導入を参照してください。

For example Python scripts, see the Cato Github repository.

イベントを保存していてもSIEMにインジェスチョンしていない場合、圧縮率が非常に高いため、低価値のイベントを排除してイベント数を減らすメリットはほとんどありません。 ただし、イベントログをSIEMにインジェスチョンする場合は、そのプロセスを最適化し、以下のワークフローに記載されているように、価値のあるイベントのみをインジェスチョンすることが重要です。

不必要なイベントの排除

このセクションでは、イベントを分析し、その数をどのように減らすかを判断するための推奨ワークフローを紹介します。

  1. イベントタイプに基づいてイベントを排除する - イベントページで、よく使う項目パネルを使用して、各イベントタイプのイベント数を表示します。 ほとんどの場合、生成されるイベントの大部分はセキュリティイベントです。 セキュリティイベントをログする必要がない場合、eventsFeedクエリまたはイベントログ連携からフィルターすることで、それらをSIEMへの取り込みを避けることができます。 その他のイベントタイプを削除しても、総数に重大な影響を与える可能性は低いです。

    Event_Logging_BP_-_イベントタイプ.png

  2. サブタイプに基づいてイベントを削除する - セキュリティイベントをログする必要がある場合、必要のない特定のセキュリティイベントのサブタイプを除外することができます。 多くのアカウントにおいて、インターネットおよびWANファイアウォールイベントはセキュリティイベントの大部分を占めています。 他の種類のセキュリティイベントにのみ興味がある場合は、eventsFeedクエリまたはイベントログ統合からファイアウォールイベントをフィルタし、それらをSIEMに取り込むのを避けることで、取得するイベント数を大幅に削減できます。

    Event_Logging_BP_-_サブタイプ_2.png

  3. アプリケーションに基づいてイベントを削除する - ファイアウォールイベントをログする必要があると仮定すると、それらのイベントの多くは記録する必要のないアプリケーショントラフィックによって生成されている可能性があります。 例えば、DNSイベントはしばしば多くのファイアウォールイベントを代表しており、あなたにとっては限定的な有用性かもしれません。 利用可能な項目セクションで、各アプリケーションのイベント数を分析し、ログの必要がないトラフィックを特定します。 その後、許可アクションとイベントなしでファイアウォールルールを作成し、これらのアプリケーションのイベント生成を排除します。 その後、イベントトラッキングを必要としないDNSサーバーのための宛先IPを定義してカスタムアプリケーションを作成することをお勧めします。 そのカスタムアプリケーションを許可するために、一つのファイアウォールルールを作成できます。

    Event_Logging_BP_-_アプリケーション.png

    イベント生成なしで許可したいその他のアプリケーションやサービスの例には以下が含まれます:

    • ICMPやSNMPなどの一般的なネットワークモニタリングプロトコル

    • Windows Update、Microsoft Teams、およびZoomなどの安全なトラフィックとされる多数のイベントを持つアプリケーション

Cato アカウントの一般的なログベストプラクティス

  • リソース > イベント統合ページで、Cato イベントとの統合を有効にします。 たとえ現在そのアカウントがイベントの統合を維持していなくても、Cato はアカウントのイベントフィードのデータを分析することでトラブルシューティングを支援することができます。 この機能を有効にしなければ、データはトラブルシューティングに利用できません。

    Event_Logging_BP_-_インテグレーションを有効化.png

  • XDRストーリーのためのイベントを生成するXDR対応ポリシーを設定し、イベントフィードに含めます。 デフォルトでは、XDRストーリーイベントは生成されず、イベントは設定されたルールに従ってのみ生成されます。 XDRストーリーのための対応ポリシーのルールを設定する方法とXDRイベントのフィールドについてさらに詳しくは、Creating the Response Policy for XDR Storiesをご覧ください。

  • 注意:イベントページに表示される合計イベント数とストレージまたはSIEMに送信される実際のイベント数との間に軽微な不一致がある場合があります。 これは、表示された数値が四捨五入される場合や、複数のイベントが単一のエクスポートイベントログに統合されることがあるためです。 これは、同じイベントが1分以内に複数回発生した場合に起こります。 詳細については、ネットワークのイベント分析を参照してください。

    イベント_ログ_BP_-_総イベント数.png

この記事は役に立ちましたか?

2人中2人がこの記事が役に立ったと言っています

0件のコメント