Como todos saben, cada empresa quiere ahorrar la mayor cantidad de dinero posible. Se me ha asignado la tarea de pre-filtrar los registros de mensajes de estado / salud menos importantes antes de que lleguen al SIEM.
Hay dos razones por las que se realiza el pre-filtrado: para ahorrar en la tasa de EPS (Eventos por segundo) y para reducir el ruido. Cada tecnología SIEM tiene una capacidad de análisis de EPS máxima que está restringida por el hardware o por la licencia del software. Cuando los eventos exceden esa limitación, el servidor SIEM comienza a descartar los paquetes. Es por eso que solo querría incluir solo aquellos eventos que tienen implicaciones de seguridad significativas.
Pero aún más importante que el EPS es reducir los eventos para que sus analistas puedan analizarlos manualmente. Aunque la tecnología SIEM puede automatizar muchas actividades de correlación de eventos, inicialmente necesita que un analista revise manualmente cada uno de los eventos de tráfico o registro recibidos para determinar si es verdadero positivo o falso positivo. Cuando abruma el sistema con una gran cantidad de eventos ruidosos que no tienen una implicación de seguridad, no solo está sobrecargando los recursos de software y hardware del sistema, sino que también está sobrecargando al analista al analizar esos eventos.
Según mi experiencia, debe comprender que una solución SIEM efectiva es la que analiza solo los eventos de seguridad. Muchas veces, las personas desean dejar que el SIEM analice y co-relacione también muchos eventos que no son de seguridad. En momentos que pueden ser útiles, como correlacionar la información de estado del sistema con los registros de tráfico recibidos en caso de ataques de denegación de servicio, sin embargo, en la mayoría de los casos se filtran previamente todos los eventos y registros que no son de seguridad y se reenvían solo a los registros relevantes. Su SIEM hará que el sistema y el analista de SIEM sean más eficientes.
Trabajo para la compañía que está desarrollando la solución SIEM durante los últimos 5 años, por lo que constantemente tengo que hablar con nuevos y los clientes existentes, ayudándoles a elegir la mejor manera de integrar lo que ofrecemos.
Lo que me viene a la mente acerca de SIEM y el prefiltro es si necesita mantener sus registros intactos al ingresar al sistema debido a las diversas regulaciones de los países. Esto podría o no ser importante para su empresa.
En segundo lugar, si su SIEM ofrece un plan $$ que se concentra en datos almacenados y no en datos transferidos, puede filtrar lo que realmente ingresa al almacenamiento (nivel de retención, parte de indexación previa) para que no gaste demasiado espacio de almacenamiento y No mates a SIEM alertando con demasiados datos basura. La configuración de lo que ingresa a SIEM y lo que se descarta a nivel de SIEM y no a nivel de sistema operativo le permite tener más control sobre lo que sucede si alguien se cierra, cambia el sistema operativo o algo similar. Mire las reglas de SIEM como documentación para su infraestructura. Si todo está en un solo lugar, es más fácil de ver que si se distribuye en lugares no estándar.
TLDR Recopilaría todo y haría pocas reglas en el nivel de retención para que los datos no ingresen al nivel de indexación (alertas, correlación, etc.). Si hay cumplimientos normativos que debe seguir, me gustaría dejarlo como está.