Erweiterte Einstellungen
Last updated
Last updated
Die benutzerdefinierten Felder stehen Ihnen zur Verfügung, um Ihr SIEM um weitere Informationen zu ergänzen. Erstellen Sie neue benutzerdefinierte Felder und nutzen Sie diese im Zusammenspiel mit Extraktoren, um Ihr SIEM optimal auf Ihre Bedürfnisse abzustimmen.
Vergeben Sie einen Namen und eine kurze Beschreibung
Geben Sie unter: „Feldname“ eine eindeutige Benennung des erstellten Feldes an. Diese wird Ihnen anschließend nach Aktivierung mit dem Prefix: „custom“ in Ihrem SIEM angezeigt.
Unter: „Feldtyp“ legen Sie die Art und Struktur der Daten fest, die in diesen Feldern gespeichert werden sollen. Achten Sie auf die Wahl des richtigen Feldtypens, da diese darüber entscheidet, wie das SIEM die Daten verarbeitet, speichert und darauf zugreift.
Sollten Sie sich unschlüssig über die Wahl Ihres Feldtyps sein, empfehlen wir die Nutzung der StrField (String Felder).
Per Default ist ein neuangelegtes Feld direkt aktiviert. Möchten Sie dies nicht oder im Nachgang ein Feld deaktivieren so entfernen Sie bitte das Häkchen aus dem Aktivierungsfeld.
Sichern Sie Ihre Konfiguration durch Klick auf: "Änderungen speichern".
Die Export-Ansicht im SIEM Data Lake bietet Ihnen eine Übersicht über alle exportierten Daten aus dem SIEM Data Lake. Nachdem Sie Streams, beispielsweise für Analysen oder Berichte, im Data Lake erstellt und exportiert haben, finden Sie diese Exporte in der separaten Ansicht gesammelt. Diese Ansicht dient ausschließlich der Anzeige Ihrer eigenen Exporte, d.h., Sie sehen nur die Exporte, die Sie als eingeloggter Benutzer erstellt haben.
Diese Ansicht ermöglicht es Ihnen, alle aus dem SIEM exportierten Daten an einem zentralen Ort jederzeit wieder aufzurufen, ohne dass eine manuelle Verwaltung nötig ist.
Wenn ein Alarm in Ihrem SIEM-System eingeht, den Sie zu einem späteren Zeitpunkt genauer analysieren möchten, können Sie einen Stream im Data Lake erstellen, der alle relevanten Informationen zu diesem Vorfall sammelt. Der erstellte Stream kann anschließend exportiert und in der Export-Ansicht gespeichert werden. Dort steht er Ihnen auch zu einem späteren Zeitpunkt zur Verfügung, sodass Sie die Daten bequem wiederfinden und bei Bedarf für tiefere Analysen verwenden können.
Bad IPs sind IP-Adressen, die als schädlich oder unerwünscht eingestuft werden und potenziell Sicherheitsrisiken darstellen. Nutzen Sie die Managed Bad IP Ausnahmen, um die automatisch Erkennung von schadhaften IPs zu ermöglichen und zu blocken oder auch bekannte BadIPs gezielt zu whitelisten. Diese Regelwerke erhöhen die Sicherheit Ihrer Infrastruktur und ermöglichen es Ihnen proaktive Maßnahmen gegen unerwünschte Zugriffe zu ergreifen.
Definieren Sie weiterhin ganz einfach neue Bad IP Regeln, um spezifische Adressen zu definieren oder eben auch legitime IPs auf die Whitelist zu setzen. So stellen Sie sicher, dass Ihre Sicherheitsrichtlinien optimal an Ihre Anforderungen angepasst sind und legitime Nutzer nicht fälschlicherweise blockiert werden.
Vergeben Sie einen Namen und eine kurze Beschreibung.
Geben Sie anschließend an welche IPs auf die Whitelist eingetragen werden sollen und welche Sie Blacklisten möchten. Tragen Sie hierfür die IPs in die betreffenden Felder ein und fügen Sie weitere durch Klick auf das Pluszeichen hinzu.
Speichern Sie abschließend Ihre Einstellungen mit dem Button: „BadIP Ausnahme hinzufügen“.
In der Übersicht finden Sie eine Auflistung aller BadIP Ausnahmen. Klappen Sie Einträge aus, um schnell zu sehen welche IPs auf der Black- bzw. der Whitelist stehen. Aktivieren bzw. deaktivieren Sie Ausnahmen mit nur einem Klick auf die betreffende Schaltfläche.
Ein Eingangsfilter in Ihrer SIEM-Lösung sorgt dafür, dass nur relevante sicherheitsrelevante Daten verarbeitet werden, was die Effizienz Ihres Systems deutlich steigert. Durch das Ausschließen irrelevanter Logs entlasten Sie Ihre Infrastruktur und verbessern gleichzeitig die Performance Ihrer Bedrohungserkennung.
Wechseln Sie in die „SIEM“-Ansicht, klappen Sie im Seitenmenü den Punkt: „Erweiterte Einstellungen“ auf. Hier finden Sie die: „Eingangsfilter“.
Klicken Sie im oberen rechten Rand auf die Schaltfläche: „Eingangsfilter hinzufügen“.
Vergeben Sie Namen und Beschreibung für Ihren Filter.
Per default ist Ihr Filter direkt aktiv. Möchten Sie diesen noch nicht direkt aktivieren so deaktivieren Sie diesen bitte mit Klick auf das Kästchen.
Legen Sie nun die Quelle Ihres Filters fest. Das Dropdown Menü zeigt Ihnen alle zur Verfügung stehenden Optionen an. In unserem Fall mittels Event Relais.
Geben Sie im Folgenden das oder die betreffenden Event Relais an. Auch hier können Sie anhand der Dropdown Liste schnell entsprechende Einträge finden und mit einem Klick ergänzen.
Erstellen Sie anschließend eigene Filterfelder mit RegEx. Wählen Sie unter „Name“ das gewünschte Feld aus, dessen Ergebnisse gefiltert werden sollen, und geben Sie im Feld „Pattern“ das entsprechende Muster an. So teilen Sie Ihrem System mit, welche Informationen ein Log enthalten muss, um vom Filter erfasst zu werden.
Gängige Ausdrücke wären hier bspw.:
\d any digit
\w any word charakter
[a-z] a charakter in the range: a-z
Die folgende Website kann Sie dabei unterstützen Ihre ReExs auf Funktionalität zu überprüfen: https://regex101.com/
Sichern Sie Ihre Konfiguration abschließend mit dem Button: „Änderungen speichern“.
