SIEM Alien Vaultが推奨するノイズのミュート方法
Alien Vaultを環境にインストールしましたが、SIEMに大量のログが記録されるのを目にしています。さらに調査したところ、これらはAlienVault自体によって生成されていることがわかりました。これらの出来事は騒がしく、本当の出来事を見る必要がある場合に自己満足を生み出すと思います。ほとんどの人はどういうわけかこれらの出来事を無視していると思います。私はオンラインで読んだことがあり、見つけることができるのはこれだけです
alienvaultログがossimに表示されないようにするにはどうすればよいですか?
上記の記事から判断すると、この方法は多少ハックであることがわかります。
これが私が現在やっていることです。 Source of AlienVault用の2つのルールとDestination of AlienVault用の1つのルールを作成し、それらをNo SIEMに設定しました。これは健全な練習ですか?
AlienVaultアラートを消音またはミュートすることをお勧めしますか?
これを達成するための良いまたはきれいな方法は何ですか?
電子メールでAlienVaultに連絡したところ、質問に記載されているのと同じ回避策が送られてきました。
1.- 2つのポリシーを作成します。設定->脅威インテリジェンス->ポリシーに移動します。デフォルトグループを選択しました。
2.-最初のポリシーには、AlienVault Appliance IPがソースIPとして含まれます。新しいポリシーをクリックします。ポリシーの名前を設定します-ソースIPの「from AV」のように、宛先フィールドのアセットツリーからalienvaultアプライアンスアセットを選択します。
3.- 2つ目は、宛先としてのAlienVault Appliance IP。新しいポリシーをクリックします。ポリシーの名前を設定します(宛先IPで「AVに」など)。ソースフィールドのアセットツリーからalienvaultアプライアンスアセットを選択します。
4.-ポリシーの再読み込み赤いラベル/ボタン「ポリシーの再読み込み」をクリックしてください。
これにより、AlienVaultが自身のトラフィックをキャプチャして分析できなくなります。