O SIEM possui um função de agregação de logs. Ela pode ajudar bastante, abaixo vamos enter um pouco melhor como isso funciona.
Você já teve alguma vez problema com o excesso de logs no SIEM? Se não teve, é uma pessoa de sorte!
No entanto a grande maioria dos profissionais que trabalham com a ferramenta já tiveram esse problema.
O SIEM possui uma funcionalidade chamada agregação de logs. Esse nome pode variar conforme o fabricante ou até mesmo estar em inglês, mas a função é a mesma. Você consegue direto no coletor criar filtro para que os logs seja agregados.
Exemplo: O SIEM recebe logs de firewall e as vezes você vê o mesmo IP de origem, IP de destino e porta em diversos logs seguidos. A agregação irá entregar para o Processor apenas um log com as informações e irá informar em um campo quantos logs em agregou.
É possível usar a agregação dos logs com qualquer tipo de coleta, os mais comuns são AD e Firewall por causa da alta quantidade de logs gerados. Além de realizar o filtro informando quais os campos deverão ser iguais, deverá ser delimitado um tempo também. Ficaria algo como, Quando o campo A e B forem iguais e estiverem em range de 10 segundos agregue eles em um só evento.
Dependendo da sua rede você poderá ver grandes ganhos ou ganhos não tão expressivos. No entanto ele é sempre bom para diminuir um pouco a quantidade de logs e criar um pequena gordura na licença.
Ponto de atenção: Existem algumas normas de auditoria que não permitem a utilização da agregação, pois ela obriga que o SIEM possua todos os logs como únicos.