Мы рассматриваем ряд решений SIEM, которые включают в себя анализ журналов из коробки. С самого начала мы заметили, что ряд предупреждений генерируется на основе действий, выполняемых нашими инструментами мониторинга.
Например, мы используем PRTG для мониторинга SSH и других показателей из одного сеанса. В конечном итоге это добавление записей в таблицу аудита, которую собирает SIEM.
Мысль заключается в том, что мы просто исключаем события, основанные на этом конкретном пользователе, и пока мы теперь знаем, как это сделать, я искал при этом проверку работоспособности. Сам пользователь не имеет прав sudo и, насколько это возможно, непривилегирован, но маскировка действий этого пользователя по-прежнему хорошая идея.
В конечном итоге мы удалим 2–3 тысячи связанных событий, а остальные оставим на рассмотрение. Поскольку фактический номер входа в систему находится под наблюдением, мы, вероятно, заметим небольшое увеличение количества событий как проблему для проверки, это будет намного проще сделать, если мы удалим шум.
Любые другие предложения по поводу подхода приветствуются.