Método recomendado por SIEM Alien Vault para silenciar el ruido

Navega tus respuestas
2

He instalado Alien Vault en mi entorno y veo una tonelada de registros que ingresan al SIEM. Tras una investigación adicional, veo que estos son generados por el propio AlienVault. Creo que estos eventos son ruidosos y crean complacencia donde necesito ver eventos reales. Supongo que la mayoría de las personas están ignorando estos eventos de alguna manera. He leído en línea y todo lo que puedo encontrar es esto

¿Cómo puedo ¿Impedir que los registros de alienvault se muestren en ossim?

A juzgar por el artículo anterior, veo que este método es algo así como un hack.

Esto es lo que estoy haciendo actualmente. Creé dos reglas para Source of AlienVault y una para el destino de AlienVault, luego las puse en No SIEM. ¿Es esta una buena práctica?

¿Se recomienda silenciar o silenciar las alertas de AlienVault?

¿Qué es una forma buena o limpia de lograr esto?

    
pregunta ApertureSecurity 12.06.2017 - 13:04
fuente

1 respuesta

0

Me comuniqué con AlienVault por correo electrónico y me enviaron la misma solución que describiste en tu pregunta:

  

1.- Crea 2 políticas.   ir a la configuración - > inteligencia de amenazas - > las políticas.   eligió el grupo predeterminado.

     

2.- La primera política tendrá la IP de AlienVault Appliance como IP de origen.   haga clic en nueva política.   establezca un nombre para la política, como ’desde AV '   en la fuente ip seleccione el activo de la aplicación alienvault del árbol de activos   en el campo de destino, seleccione cualquier   en consecuencia, seleccione no.

     

3.- Segundo, la IP del dispositivo AlienVault como destino.   haga clic en nueva política.   establecer un nombre para la política, como ’a AV '   en el destino ip seleccione el activo alienvault appliance del árbol de activos   en el campo fuente seleccione cualquier   en consecuencia, seleccione no.

     

4.- Recargar políticas Debes tener una etiqueta / botón rojo "recargar políticas" y presionarlo

     

Esto evitará que AlienVault capture y analice su propio tráfico.

    
respondido por el Hacktiker 26.07.2017 - 10:47
fuente

Lea otras preguntas en las etiquetas

Configuración de Burpsuite (solicitud de reenvío) ¿Pueden los problemas de corrección de ECC en CVE-2015-2730 permitir que "los atacantes remotos falsifiquen las firmas de ECDSA"?