Zusätzliche Optionen: Automatisieren Sie die Aktualisierung und den Abschluss korrelierter Ereignisse basierend auf dem Incident-Status SIR .
Die ArcSight ESM -Integration verfügt über eine bidirektionale Schnittstelle, die Korrelationsereignisse zum Erstellen von Security Incidents ermöglicht und die Korrelationsereignisse aktualisiert, sobald der Security Incident mit relevanten Incident-Details wie der Nummer des Security Incidents erstellt und/oder geschlossen wurde , Zuweisungsgruppe, SIR Incident-URL usw.
Vorbereitungen
Prozedur
-
Befolgen Sie die nachstehenden Anweisungen, um die Konfiguration für die Aktualisierung korrelierter Ereignisse abzuschließen, wenn der Security Incident erstellt wird.
Option oder Feld Beschreibung Korrelierte Ereignisse bei Erstellung des SIR-Incidents aktualisieren Wählen Sie diese Option aus, wenn Sie die Korrelationsereignisphase in ArcSight ESM aktualisieren und das Ereignis mit zusätzlichen Kommentaren aktualisieren möchten, wenn aus dem Korrelationsereignis ein Security Incident erstellt wird. Dies kann für Korrelationsereignisse der Fall sein, die entweder einen neuen Security Incident erstellen oder vorhandene Security Incidents zusammenfassen. Hinweis:Wenn diese Option nicht ausgewählt ist, wird die Ereignisphase nicht aktualisiert, wenn der Security Incident erstellt wird.Aktualisierung der Phase des korrelierten Ereignisses Wählen Sie eine Phasenoption aus der Auswahlliste „Aktualisierung korrelierter Ereignisphasen“, die alle verfügbaren Phasen anzeigt, die vom Server ArcSight ESM abgerufen wurden. Korrelierte Ereignisphase nicht konfiguriert: Wenn Sie in Ihrer Instanz Now Platform keine zugehörigen Ereignisphasen konfiguriert haben, wird in der Auswahlliste „Aktualisierung der korrelierten Ereignisphase“ nur „Phase zuweisen – Ersteinrichtung “ angezeigt. Um die Phase zu konfigurieren, gehen Sie wie folgt vor:- Geben Sie im Feld Phasenressourcen-ID eingeben eine Ressourcen-ID ein, und klicken Sie auf Absenden. Die Ressourcen-ID wird in der Konsole ArcSight ESM validiert, und der folgende Bildschirm wird angezeigt.
- Klicken Sie auf Speichern, um die neue Phase (Überwachung) zu speichern.
- Klicken Sie auf die Dropdown-Liste Phase für zugehöriges Ereignis auswählen.
- Sie können die neu erstellte Phase aus der Liste auswählen.
Korrelierte Ereignisstufe bereits konfiguriert: Wenn Sie die zugehörige Ereignisphase bereits konfiguriert haben, führen Sie die folgenden Schritte aus:- Wählen Sie Zuvor zugewiesene Phase verwenden in der Auswahlliste „Aktualisierung korrelierter Ereignisphasen“ aus.
- Wählen Sie eine vorhandene Phase aus der Auswahlliste Phase für zugehöriges Ereignis auswählen aus (siehe Abbildung unten).
- Anfangskommentare, die an das korrelierte Ereignis zurückgesendet werden: Sie können nicht nur den Wert der Korrelationsereignisstufe aktualisieren, sondern auch Kommentare zu den Anmerkungen zur Korrelationsphase veröffentlichen. Wie in den Anweisungen angegeben, können Sie den im Kommentarbereich angezeigten Standardtext bearbeiten und Ersetzungsvariablen im Format ${Feldname}$ für jedes Feld im Formular „Security Incident Response-Incident“ hinzufügen oder ändern.
Hinweis:Sie können entweder die in der Konsole ArcSight ESM definierten Standardphasen verwenden oder eigene anwenderdefinierte Phasen erstellen. Führen Sie die folgenden Schritte aus, um eine neue Phase zu erstellen:- Wählen Sie in der Konsole ArcSight ESM aus an. Die Registerkarte Überprüfen/Bearbeiten wird angezeigt.
- Definieren Sie die neue Phase, ohne das Kontrollkästchen Anwender erforderlich zu aktivieren. Stellen Sie sicher, dass die Phase richtig definiert ist und sich im Ereignislebenszyklus an der richtigen Position befindet.
- Geben Sie im Feld Phasenressourcen-ID eingeben eine Ressourcen-ID ein, und klicken Sie auf Absenden. Die Ressourcen-ID wird in der Konsole ArcSight ESM validiert, und der folgende Bildschirm wird angezeigt.
-
Füllen Sie die Felder des Formulars aus.
Option oder Feld Beschreibung Aktualisiert bei Abschluss des SIR-Incidents korrelierte Ereignisse Wählen Sie diese Option aus, wenn Sie den Status des Korrelationsereignisses aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn ein Security Incident aus dem zugehörigen Ereignis geschlossen wird. Dies gilt sowohl für die ersten auslösenden wichtigen Ereignisse, die den Security Incident erstellen, als auch für aggregierte Ereignisse. Hinweis:Wenn diese Option nicht ausgewählt ist, wird die Ereignisphase nicht aktualisiert, wenn der Security Incident geschlossen wird.Aktualisierung der Phase des korrelierten Ereignisses Wählen Sie eine Phasenoption aus dem Menü aus, das alle verfügbaren Phasen anzeigt, die vom Server ArcSight ESM abgerufen wurden. Wählen Sie den Phasenwert aus, der für alle Korrelationsereignisse festgelegt werden soll, wenn ein Security Incident geschlossen werden soll. Hinweis:Die hier angezeigten Phasen basieren auf den Phasen, die im Abschnitt „Anfängliche Aktualisierungen des Korrelationsereignisses“ konfiguriert sind.Wählen Sie Phase „Korreliertes Ereignis“ aus Wählen Sie hier einen entsprechenden Status aus. Abschlusskommentare, die an das zugehörige Ereignis zurückgesendet werden Sie können nicht nur den Statuswert des Korrelationsereignisses aktualisieren, sondern auch Abschlusskommentare in den Anmerkungen zum Korrelationsereignis veröffentlichen. Wie in den Anweisungen angegeben, können Sie den im Kommentarbereich angezeigten Standardtext bearbeiten und Ersetzungsvariablen im Format ${Feldname}$ für jedes Feld im Formular „Security Incident Response-Incident“ hinzufügen oder ändern.