Я искал способ включить данные PerfMon в SIEM и обнаружил, что лучшим способом для этого является получение perfmon для регистрации в базе данных SQL (и чтение данных из представления SQL из агента SIEM). ,
Я не могу много сказать о других продуктах, но в LogRhythm SIEM вам необходим источник журнала "UDLA" (универсальный адаптер журнала базы данных) - и если вы хотите проанализировать / контекстуализировать метаданные, вам понадобится некоторые правила синтаксического анализа (например, регулярное выражение) для того, что возвращает запрос.
Полезно видеть такие вещи, как «если есть x количество ошибок входа в систему, И В наличии МБайт меньше 100, ТО затем срабатывает сигнал тревоги / правило AIEngine« Недостаточно памяти для обработки входов в систему »».
Это довольно неудачный пример, но вы поняли идею.
Вы могли бы также взглянуть на другие вещи, которые имеют потенциально вредоносное объяснение, а также мягкое объяснение.
Например, если вы видите большое количество неудачных попыток сброса паролей, это обычно может указывать на какое-то злонамеренное поведение, но не в том случае, если вы видите счетчики perfmon, сообщающие вам, что на контроллере домена имеется в общей сложности менее 1000 свободных системных PTE (по общему признанию). маловероятно для 64-битной ОС), или загрузка ЦП превышает 95%. В этом случае это не обязательно проблема безопасности, это проблема загрузки / емкости - или что-то не так с вашим DC.