本文解释了优化事件日志和SIEM摄取过程的推荐最佳实践。
将所有事件日志存储在第三方服务中,并在不区分有价值日志和不必要日志的情况下将它们摄取到SIEM中,可能导致不必要的存储和SIEM成本、警报疲劳和SIEM性能下降等问题。 本文描述了为Cato客户推荐的最佳实践,以优化事件日志存储和SIEM摄取过程,避免这些问题。
推荐的最佳实践包括两个主要的工作流程:
-
压缩事件以减少存储需求
-
在摄取到SIEM时消除价值有限的事件
除了这些工作流程之外,我们还为Cato账户提供了一些常规日志记录的最佳实践。
为了优化Cato事件日志所需的存储量,您可以在导出过程中压缩事件数据,并通过在进行API请求时启用gzip压缩来减少高达95%的存储需求。
有关使用 Cato API 的更多信息,请参阅开始使用 Cato API。
For example Python scripts, see the Cato Github repository.
如果您存储事件但不将其摄取到SIEM中,由于压缩率非常高,通过消除某些低价值事件类型来减少事件数量的好处很小。 然而,如果您还将事件日志摄取到SIEM中,优化该过程并仅摄取有价值的事件是重要的,如下所述的工作流程。
本节提供了一个建议的工作流程,用于分析您的事件并决定如何减少它们的数量。
-
根据事件类型消除事件 - 在事件页面,使用热门字段面板查看每种事件类型的事件数量。 在大多数情况下,大多数生成的事件是安全性事件。 如果您不需要记录安全性事件,您可以将它们从您的eventsFeed查询或事件日志集成中过滤掉,并避免将它们摄取到SIEM中。 消除其他事件类型不太可能对总数产生显著影响。
-
根据子类型消除事件 - 如果您需要记录安全性事件,您仍然可以消除对您不需要的特定安全性事件子类型。 对于许多账户,互联网和WAN防火墙事件代表了大多数安全性事件。 如果您只对其他类型的安全性事件感兴趣,您可以通过从您的eventsFeed查询或事件日志集成中过滤掉防火墙事件,并避免将它们摄取到SIEM中,从而显著减少摄取的事件数量。
-
根据应用程序消除事件 - 假设您需要记录防火墙事件,这些事件中很大一部分可能是由您不需要记录的应用程序流量生成的。 例如,DNS事件通常代表大量的防火墙事件,对您可能用处不大。 在可用字段部分,分析每个应用程序事件的数量,识别不需要记录的流量。 然后创建允许的防火墙规则,没有事件,从这些应用程序中消除事件的生成。 我们建议创建一个自定义应用程序,定义不需要事件跟踪的 DNS 服务器的目标 IP。 您随后可以创建单个防火墙规则来允许该自定义应用程序。
您可能希望允许但不生成事件的其他应用程序和服务包括:
-
常见的网络监控协议,如ICMP和SNMP
-
具有大量事件、被称为安全流量的应用程序,如Windows Update、Microsoft Teams和Zoom
-
-
在资源 > 事件集成页面,启用与Cato事件的集成。 即使您的账户当前没有维护事件集成,这也可以使Cato通过分析您账户事件源中的数据来帮助您解决问题。 在未启用此功能的情况下,这些数据将无法用于故障排除。
-
配置XDR响应策略以为将在您的事件源中包含的XDR事件生成事件。 默认情况下,不会生成XDR事件,这些事件仅根据已配置的规则生成。 有关创建 XDR 响应策略规则和 XDR 事件字段的更多信息,请参阅为 XDR 事件创建响应策略。
-
请注意,事件页面上显示的事件总数与发送到存储或SIEM的实际事件数量可能存在细微差别。 这可能发生是因为显示的数字可能会四舍五入,或者因为有时候多个事件被合并为单个导出事件日志。 当同一事件在一分钟内多次发生时就会发生这种情况。 有关详细信息,请参阅分析您网络中的事件。
0 条评论
请登录写评论。