He instalado Alien Vault en mi entorno y veo una tonelada de registros que ingresan al SIEM. Tras una investigación adicional, veo que estos son generados por el propio AlienVault. Creo que estos eventos son ruidosos y crean complacencia donde necesito ver eventos reales. Supongo que la mayoría de las personas están ignorando estos eventos de alguna manera. He leído en línea y todo lo que puedo encontrar es esto
¿Cómo puedo ¿Impedir que los registros de alienvault se muestren en ossim?
A juzgar por el artículo anterior, veo que este método es algo así como un hack.
Esto es lo que estoy haciendo actualmente. Creé dos reglas para Source of AlienVault y una para el destino de AlienVault, luego las puse en No SIEM. ¿Es esta una buena práctica?
¿Se recomienda silenciar o silenciar las alertas de AlienVault?
¿Qué es una forma buena o limpia de lograr esto?