SIEMログの事前フィルタリングの質問
誰もが知っているように、各企業はできるだけ多くのお金を節約したいと考えています。 SIEMに到達する前に、それほど重要ではないステータス/ヘルスメッセージのログを事前にフィルタリングする必要があります。
- SIEMに行く前にプレフィルタリングする際に伴うリスクを誰かが見ていますか?
- なぜ誰かがこれを行わないのでしょうか、またはリソースがあればそうすることの利点はありますか?
- ログごとにコストを節約することは、SIEMに到達する前に事前にフィルタリングする価値がありますか?
事前フィルタリングが行われる理由は2つあります。EPS(1秒あたりのイベント数)レートを節約することと、ノイズを減らすことです。すべてのSIEMテクノロジーには最大のEPS分析機能があり、ハードウェアまたはソフトウェアライセンスによって制限されます。イベントがその制限を超えると、SIEMサーバーはパケットのドロップを開始します。そのため、セキュリティに大きな影響を与えるイベントのみを取得する必要があります。
しかし、EPSよりもさらに重要なのは、分析者がそれらのイベントを手動で分析できるようにイベントを減らすことです。 SIEMテクノロジーは多くのイベント相関アクティビティを自動化できますが、最初にアナリストが受信したログまたはトラフィックイベントを手動で調べて、それが真陽性か偽陽性かを判断する必要があります。セキュリティに影響を与えない多くのノイズの多いイベントでシステムを圧倒すると、システムのハードウェアとソフトウェアのリソースに負担がかかるだけでなく、実際にそれらのイベントの分析もアナリストに負担がかかります。
私の経験に基づいて、効果的なSIEMソリューションはセキュリティイベントのみを分析するものであることを理解する必要があります。多くの場合、人々はSIEMにセキュリティ以外の多くのイベントも分析させ、相互に関連付けさせたいと考えています。サービス拒否攻撃の場合にシステムヘルス情報を受信したトラフィックログと関連付けるなど、有用な場合がありますが、ほとんどの場合、すべての非セキュリティログとイベントを事前にフィルタリングし、関連するログのみを転送します。 SIEMは、システムおよびSIEMアナリストをより効率的にします。
私は開発中の会社で働いています [〜#〜] siem [〜#〜] ソリューションを過去5年間使用しているため、新規および既存のクライアントと常に話し合う必要があり、顧客が最良の方法を選択できるように支援します私たちが提供するものを統合します。
SIEMとプレフィルタリングについて頭に浮かぶのは、さまざまな国の規制のために、システムに入るときにログをそのまま維持する必要があるかどうかです。これは、会社にとって重要な場合とそうでない場合があります。
次に、SIEMが、転送されたデータではなく、保存されたデータに集中する$$プランを提供している場合、実際にストレージに入るもの(保持レベル、事前インデックス付け部分)をフィルタリングして、ストレージスペースを使いすぎないようにし、SIEMを強制終了しないようにします。ジャンクデータが多すぎることを警告します。 SIEMに入るものとOSレベルではなくSIEMレベルで破棄されるものを構成すると、誰かが終了した場合やOSを変更した場合などに、より細かく制御できます。インフラストラクチャのドキュメントとしてSIEMルールを見てください。すべてが1か所にある場合は、非標準の場所に分散されていると、見やすくなります。
TLDR私はすべてを収集し、保持レベルでいくつかのルールを作成して、データがインデックス作成レベル(アラート、相関など)に入らないようにします。法規制の遵守がある場合は、従わなければなりません。そのままにしておきます。