Die EPS-Zahl gibt an, wie viele Ereignisse pro Sekunde vom SIEM verarbeitet wurden.
Die Überwachung der Events per Second im SIEM ist essenziell, um die Systemstabilität zu gewährleisten, Kosten zu kontrollieren, Sicherheitsvorfälle frühzeitig zu erkennen, Compliance-Anforderungen zu erfüllen und die IT-Ressourcen effizient zu nutzen.
Ein plötzlicher Anstieg der EPS kann auf ungewöhnliche Aktivitäten, wie etwa einen Cyberangriff, Fehlkonfigurationen oder Systemfehler, hindeuten. Die Überwachung dieser Kennzahl ermöglicht es, solche Anomalien in Echtzeit zu erkennen und schnell zu reagieren. Das gilt auch für schnell abfallende Events, was u.a. auf Agents im offline-status, aber auch auf Verbindungsprobleme zwischen Manager und Index hindeuten kann.
Für die Überwachung der EPS benötigt man zwar keinen Suchstring, passt in die Serie aber gut hinein.
Wir wechseln im Hauptmenü auf Visualisierungen und erstellen z.B. eine Gauge Visualisierung
Als Quelle natürlich die wazuh-alerts:
Der Default würde bereits ausreichen, ich selbst wähle bei Aggregation immer Unique Count mit dem Feld id.
Im Reiter Options lassen sich die Schwellwerte für die Ampelfarben festlegen, dies ist immer abhängig der Umgebung und entscheidet der Administrator nach dem on-boarding der gängigsten Quellen. In diesem Beispiel 0 – 1.000.000 Events grün, 1.000.000 bis 5.000.000 gelb und 5.000.000 bis 10.000.000 rot.
Achtung! Hier wird als Berechnung die letzten 24h genommen, eine zuverlässige Berechnung innerhalb von Opensearch gibt es nicht, daher muss der Wert dementsprechend außerhalb durch 86400 geteilt werden (wenn die Ansicht last 24 hours ist).
Da der EPS Wert meist für die Skalierung des Systems verwendet wird, spielt das Ergebnis der letzten Sekunde oder auch der Durchschnitt der letzten Sekunden keine wichtige Rolle. Um allerdings Engpässe optisch aufzubereiten eignet sich die Gauge Visualisierung hervorragend.
Weitere sinnvolle Beispiele für Gauge wären u.a. auch gefundene Sicherheitslücken in den Vulnerabilities, probiert es doch mal aus!
Artikel der Serie:
Dashboard anhand eines Searchstrings bauen