Melhores Práticas para Logs de Eventos Cato e Ingestão

Este artigo explica as melhores práticas recomendadas para otimizar logs de eventos e também para os processos de ingestão de SIEM.

Visão Geral

Armazenar todos os seus logs de eventos em um serviço de terceiros e ingeri-los em um SIEM sem diferenciar entre logs valiosos e desnecessários pode levar a problemas como custos desnecessários de armazenamento e de SIEM, fadiga de alertas e degradação do desempenho do SIEM. Este artigo descreve as melhores práticas recomendadas para clientes Cato otimizar tanto o armazenamento de logs de eventos quanto os processos de ingestão de SIEM e evitar esses problemas.

As melhores práticas recomendadas envolvem dois principais fluxos de trabalho:

  • Comprimir eventos para reduzir exigências de armazenamento

  • Eliminar eventos de valor limitado ao ingeri-los em um SIEM

Além desses fluxos de trabalho, também apresentamos algumas melhores práticas gerais para log de contas Cato.

Comprimindo Eventos para Otimização de Armazenamento

Para otimizar a quantidade de armazenamento necessária para logs de eventos Cato, você pode comprimir os dados do evento durante o processo de exportação e reduzir o armazenamento necessário em até 95% ao ativar a compressão gzip ao fazer solicitações API.

Para mais informações sobre como trabalhar com a API Cato, consulte Getting Started with the Cato API.

Para um exemplo de script Python para eventsFeed que faz solicitações API com compressão ativada, consulte Example Scripts: Using the Cato API with Python.

Se você armazena eventos mas não os ingere em um SIEM, uma vez que a taxa de compressão é muito alta, há pouco benefício em reduzir o número de eventos eliminando certos tipos de eventos de baixo valor. No entanto, se você também ingerir os logs de eventos em um SIEM, é importante otimizar esse processo e ingerir apenas eventos valiosos, conforme descrito no fluxo de trabalho abaixo.

Eliminando Eventos Desnecessários

Esta seção apresenta um fluxo de trabalho sugerido para analisar seus eventos e decidir como reduzir seu número.

  1. Elimine eventos de acordo com o Tipo de Evento - Na página de Eventos, use o painel de Campos Populares para ver o número de eventos para cada Tipo de Evento. Na maioria dos casos, a grande maioria dos eventos gerados são eventos de Segurança. Se você não precisa registrar eventos de Segurança, pode filtrá-los da sua consulta eventsFeed ou da integração do log de eventos e evitar ingeri-los em seu SIEM. Eliminar outros Tipos de Eventos não tem probabilidade de ter um impacto significativo no número total.

    Registro_de_Eventos_BP_-_Tipo_de_Evento.png

  2. Elimine eventos de acordo com o Subtipo - Se precisar registrar eventos de Segurança, ainda assim você pode eliminar Subtipos específicos de eventos de Segurança que são desnecessários para suas necessidades. Para muitas contas, os eventos de Firewall da Internet e WAN representam a grande maioria dos eventos de Segurança. Se você está interessado apenas em outros tipos de eventos de Segurança, pode reduzir significativamente o número de eventos ingeridos filtrando os eventos de firewall da sua consulta eventsFeed ou da integração do log de eventos e evitar ingeri-los em seu SIEM

    Registro_de_Eventos_BP_-_Subtipo_2.png

  3. Elimine eventos de acordo com a Aplicação - Assumindo que você precise registrar eventos de firewall, uma proporção significativa desses eventos pode ser gerada por tráfego de aplicação que você não precisa registrar. Por exemplo, eventos DNS frequentemente representam um grande número de eventos de firewall e podem ter utilidade limitada para você. Na seção de Campos Disponíveis, analise o número de eventos para cada Aplicação e identifique o tráfego que você não precisa registrar. Em seguida, crie regras de firewall com a ação Permitir e sem Evento para eliminar a geração de eventos para essas aplicações. Recomendamos criar uma Aplicação Personalizada definida com os IPs de Destino para servidores DNS para os quais você não necessita de rastreamento com eventos. Você pode então criar uma única regra de firewall para permitir essa Aplicação Personalizada.

    Registro_de_Eventos_BP_-_Aplicativo.png

    Outros exemplos de aplicações e serviços que você pode querer permitir sem geração de eventos incluem:

    • Protocolos comuns de monitoramento de rede, como ICMP e SNMP

    • Aplicações com grandes números de eventos que são conhecidos como tráfego seguro, como Windows Update, Microsoft Teams e Zoom

Melhores Práticas Gerais de Registro para Contas Cato

  • Na página de Recursos > Integrações de Eventos, ative integração com Eventos Cato. Mesmo que sua conta não mantenha atualmente uma integração de eventos, isso permite que a Cato ajude você a solucionar problemas analisando os dados no feed de eventos da sua conta. Os dados não estarão disponíveis para solução de problemas sem habilitar esse recurso.

    Registro_de_Eventos_BP_-_Habilitar_Integração.png

  • Configure uma Política de Resposta XDR para gerar eventos para Histórias XDR que serão incluídas no seu feed de eventos. Por padrão, nenhum evento de história XDR é gerado, os eventos são gerados apenas de acordo com as regras configuradas. Para mais informações sobre a criação de Regras de Política de Resposta do XDR e os Campos de Evento do XDR, veja Criando a Política de Resposta para Histórias de XDR.

  • Note que pode haver uma pequena discrepância entre o número Total de Eventos exibidos na página de Eventos e o número real de Eventos enviados para armazenamento ou um SIEM. Isso pode acontecer porque o número exibido pode ser arredondado para cima, ou porque às vezes múltiplos Eventos são combinados em um único Log de Evento exportado. Isso acontece quando o mesmo Evento ocorreu mais de uma vez no espaço de Tempo de um Minuto. Para Mais Informações, consulte Analisando Eventos na Sua Rede.

    Event_Logging_BP_-_Total_Events.png

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário