Erstellen Sie Zuordnungen für die Ereigniserfassungsintegration ArcSight ESM .

Freigeben Version: Xanadu

Aktualisiert 1. August 2024

8 Minuten Lesedauer

In diesem Schritt erfassen Sie Beispiele für Korrelationsereignisse und ordnen Werte den SIR-Security Incident-Feldern zu.

Vorbereitungen

Erforderliche Rolle: admin, sn_si.admin

Warum und wann dieser Vorgang ausgeführt wird

Als Benutzer mit der Rolle sn_si.admin können Sie bis zu fünf Beispiele für Korrelationsereignisse aus der Spalte „Beispielerfassung für Korrelationsereignis“ auf der linken Seite des Formulars überprüfen, um die Zuordnung und Übersetzung von Ereignisfeldwerten zu den Feldern für Security Incidents im SIR-Incident zu unterstützen Spalte „Feldzuordnung“ auf der rechten Seite.

Erstellen Sie anwenderdefinierte Zuordnungen, indem Sie im Zuordnungsraster auf der rechten Seite des Formulars Felder hinzufügen oder entfernen. Standardmäßig angezeigte Felder sind normalerweise wichtige Felder, die im Formular für die Reaktion auf Security Incidents ausgefüllt werden müssen. Diese Felder können jedoch entfernt und zusätzliche Felder mit den Schaltflächen „+“ und „-“ angezeigt werden. Erstellen Sie anwenderdefinierte Zuordnungen, indem Sie im Zuordnungsraster auf der rechten Seite des Formulars Felder hinzufügen oder entfernen. Durch das Anpassen der Felder können Sie ArcSight ESM -Felder zuordnen, die nicht im Standardzuordnungsraster für den Security Incident angezeigt werden.

Prozedur

Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung.
Sie können entweder die neuesten Beispielkorrelationsereignisse für die ausgewählte Korrelationsregel abrufen oder die eindeutigen Korrelationsereignis-IDs für die spezifischen Korrelationsereignisse angeben, die Sie für Ihre Korrelationsereignis-Zuordnungs-Experience verwenden möchten.
Wählen Sie in der Dropdown-Liste eine der folgenden Optionen aus:
- Ruft die neuesten Korrelationsereignisse ab
- Wählen Sie Korrelationsereignisse basierend auf der Ereignis-ID aus
Klicken Sie auf Ereignisse abrufen, um die neuesten Beispielkorrelationsereignisse für die ausgewählte Korrelationssuchregel aus der Konsole ArcSight ESM abzurufen.
Die Felder für das Korrelationsereignis und die Werteergebnisse werden als einzelne Registerkarten angezeigt.

Das Abrufen von Beispielkorrelationsereignissen kann einige Minuten dauern. Oben auf dem Bildschirm wird eine Meldung angezeigt, dass die Transaktion funktioniert.

In der folgenden Abbildung werden auf der linken Seite dieses Formulars die Feld-Name-Wert-Paare für das erfasste Korrelationsereignis oder die importierten Beispielereignisse angezeigt, nachdem der Erfassungsabruf abgeschlossen wurde. Diese Werte sind die Werte, die Sie den Security Incident-Feldern auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zuordnen.
Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken Sie auf einen blauen Feldnamen auf der linken Seite des Formulars.
Ziehen Sie den Feldnamen, z. B. agent.hostname, und legen Sie ihn auf ein Feld in der Spalte „Eingabeausdruck“ neben einem Feldnamen in der Spalte „Security Incident“.

Um sicherzustellen, dass im Zuordnungsprozess keine Ereignisfelder übersehen oder dupliziert werden, sind Felder farbcodiert. Hellblaue Felder auf der linken Seite zeigen an, dass das Feld für Korrelationsereignisse noch nicht ausgewählt und dem Security Incident zugeordnet wurde. Unter Umständen möchten Sie ein eingehendes Korrelationsfeld mehreren Feldern in einem Security Incident zuordnen.

Ein graus Feld zeigt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Anhand dieser Farbcodierung können Sie nachverfolgen, welche Ereignisfelder bereits für zukünftige Zuordnungen von Feldern für Security Incidents verwendet wurden.
Führen Sie die folgenden Schritte aus, um den Standardfeldern, die im Security Incident auf der rechten Seite des Formulars angezeigt werden, Felder hinzuzufügen.
1. Klicken Sie rechts im Formular im Abschnitt „SIR-Incident-Feldzuordnung“ unten im Raster auf das Plus-Symbol.
  Ein neues Feld wird angezeigt.
2. Erweitern Sie in der Spalte „Security Incident“ die angezeigte Auswahlliste, und wählen Sie ein Feld aus.
  
  In der erweiterten Auswahlliste für das neue Feld sind einige Felder schattiert. In der folgenden Abbildung ist der betroffene Benutzer grau hinterlegt, da er im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für die Felder für Korrelationsereignisse auf der linken Seite des Formulars hilft Ihnen diese Farbcodierung für die Felder für Security Incidents auf der rechten Seite, die bereits zugeordneten SIR-Incident-Felder nachzuverfolgen.
  
  Hinweis:
  Damit mehrere erkennbare Elemente für denselben Security Incident angezeigt werden können, kann das Feld „Erkennbares Element“ mehrmals mit unterschiedlichen Werten zugeordnet werden. Ebenso unterstützen die Felder Konfigurationselement und Arbeitsnotizen mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des incident eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Auswahlliste verfügt, aus der mehrere Optionen ausgewählt werden können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Auswahlliste angezeigt wird, wird das Feld im Security Incident ebenfalls nicht ausgefüllt.
3. Geben Sie alternativ einen Wert in das Feld Suchen für die neue Zeile ein.
4. Klicken Sie auf der linken Seite des Formulars, um die Ereignis-ID auszuwählen, die Sie im Feld Eingabeausdruck verwenden möchten.
  Ordnen Sie es per Drag-and-Drop neben Ihrem neuen Feld zu.
Wahlweise: Öffnen Sie den Skript-Editor und setzen Sie die Bearbeitung fort.

Weitere Informationen zum Skript-Editor finden Sie unter Verwenden Sie den Skript-Editor zum Formatieren von Korrelationsereigniswerten für die ArcSight ESM -Integration.Filterbedingungen für die Incident-Generierung
Wahlweise: Nachdem Sie die vorhergehenden Feldzuordnungsschritte abgeschlossen haben, können Sie dieselben Feldwerte im Generator für Bedingungen für Incident-Generierung verwenden, um zusätzliche Kriterien zu definieren, die ein eingehendes Korrelationsereignis erfüllen muss, um einen SIR -Security Incident zu erstellen.
Führen Sie die folgenden Schritte aus, um Bedingungen für die Incident-Generierung festzulegen.
1. Scrollen Sie im Formular zum Abschnitt „Bedingungen für Incident-Generierung“, und aktivieren Sie das Kontrollkästchen Basierend auf Bedingungen filtern, um die Option zu aktivieren.
  
  Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den in den Feldern beschriebenen spezifischen Bedingungen entsprechen.
  
  Die Optionen in den Auswahllisten für das erste Feld im Generator für Filterbedingungen entsprechen den Feldern, die im Abschnitt „Beispielerfassung für Korrelationsereignis“ für die von Ihnen erfassten Ereignisse angezeigt werden. Diese Felder sind dynamisch und ändern sich je nach den von Ihnen erfassten Korrelationsereignissen. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden, und sie müssen genau mit den Werten des Korrelationsereignisses ArcSight ESM übereinstimmen.
  
  Legen Sie mithilfe der Auswahllisten und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
2. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf AND oder OR.
  Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein. Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.
3. Wahlweise: Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest.
  
  Die folgende Abbildung zeigt ein Beispiel mit zwei Bedingungen, die erfüllt sein müssen, bevor Security Incidents erstellt werden.
  
  Sie haben die Bedingungen für die Incident-Generierung so festgelegt, dass Security Incidents nur erstellt werden, wenn die beiden von Ihnen eingegebenen Filterbedingungen erfüllt sind.
  
  Diese Art der Bedingungsfilterung für die Incident-Generierung hilft Ihnen, die Sicherheitsereignisse einzugrenzen und die Anzahl der unnötigen Security Incidents zu begrenzen, die Sie erstellen, ohne die zugrunde liegende Korrelationssuche zu ändern oder Ereignisse in ArcSight ESMherauszufiltern. Wenn zusätzliche Filterkriterien festgelegt sind, werden nur Korrelationsereignisse, die allen Kriterien entsprechen, Incidents zugeordnet.
  
  Hinweis:
  Wenn einer der Ereignisfeldnamen Sonderzeichen wie Anführungszeichen (“), Bindestriche ('), Unterstriche (-) oder Und-Zeichen (@) enthält, müssen diese Zeichen möglicherweise zu Zuordnungsübersetzungszwecken ersetzt werden und führen möglicherweise zu einem duplizierten Ereignis Name. Die Zuordnung kann entsprechend erfolgen, es wird jedoch ein numerisches Suffix angehängt, um Felder mit doppelten Ereignisnamen zu unterscheiden. Wenn beispielsweise das erste Ereignisfeld „events.event“ und das zweite Ereignisfeld „events.event“ist, können diese Felder nicht eindeutig identifiziert werden, da die verbleibenden Standardtextzeichen identisch sind. In diesem Fall wird dem zweiten Event-Feld ein Suffix hinzugefügt, und das Feld wird in Events@event(1)umbenannt.
Kriterien für die Zusammenfassung von Ereignissen zur Verarbeitung ähnlicher Korrelationsereignisse und zur Verhinderung doppelter Incidents
Wahlweise: Um zu vermeiden, dass doppelte Security Incidents erstellt werden, definieren Sie zusätzliche Kriterien für die Zusammenfassung von Ereignissen, damit eingehende Korrelationsereignisse zu einem offenen Security Incident zusammengefasst werden.
Führen Sie die folgenden Schritte aus, um die Kriterien festzulegen:
1. Scrollen Sie im Formular zum Abschnitt „ Kriterien für Ereigniszusammenfassung “, und aktivieren Sie das Kontrollkästchen Zusammenfassungsbedingungen, um diese Option zu aktivieren.
  
  Die Spalten „Übereinstimmungswerte für Incident-Feld“ werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle anwenderdefinierten Felder enthalten, die im Security Incident SIR konfiguriert sind.
2. Wählen Sie in der Liste Verfügbar die Feldwerte aus, die mit vorhandenen Security Incidents in Now Platform abgeglichen werden sollen, und verschieben Sie sie in die Liste Ausgewählt.
  Alle von Ihnen ausgewählten Feldwerte müssen übereinstimmen, um dieses eingehende Korrelationsereignis an einen vorhandenen Security Incident anzuhängen. Dies umfasst Felder wie erkennbare Elemente und Konfigurationselemente, denen mehrere Korrelationsereignis-Feldwerte zugeordnet sein können. Alle Werte müssen übereinstimmen. Wenn nur eine Teilmenge der Werte übereinstimmt, werden die Bedingungen für die Ereignis-Zusammenfassung nicht erfüllt, und es wird ein neuer Security Incident erstellt. Screenshot unten für Feldzuordnung mit mehreren Werten.
  Wenn ein neues Korrelationsereignis mit allen Werten übereinstimmt, die in den Zusammenfassungsfeldbedingungen im Zuordnungsschritt ausgewählt sind, wird das neue Korrelationsereignis automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als SOC-Analyst, der mit Security Incidents arbeitet, können Sie alle hinzugefügten aggregierten Korrelationsereignisse in einer zugehörigen Liste zu einem Security Incident anzeigen. Alle aggregierten Korrelationsereignisse für einen Security Incident werden in der zugehörigen Liste Aggregierte ArcSight-Ereignisse angezeigt. Diese Liste enthält Details zu zugehörigen Zeitstempeln und aggregierten Feldwerten. Diese Informationen helfen Ihnen zu verstehen, warum diese Korrelationsereignisse zu vorhandenen Security Incidents aggregiert werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie unter „Zugehörige Links “ zur linken Seite des Datensatzes, und klicken Sie auf den Link Alle zugehörigen Listen anzeigen.
  Hinweis:
  Wenn diese zugehörige Liste nicht angezeigt wird, gehen Sie wie folgt vor:
  
  Klicken Sie mit der rechten Maustaste auf den Header des Formulars „Security Incident“, und klicken Sie auf Konfigurieren > Zugehörige Listenan.
  
  Wählen Sie Aggregierte ArcSight-Ereignisse in der Liste Verfügbar aus, verschieben Sie sie in die Liste Ausgewählt, und klicken Sie auf Speichern.
  
  Klicken Sie auf Zugehörige Listen anzeigen. Im Abschnitt „Zugehörige Liste“ wird jetzt die Registerkarte „Aggregierte ArcSight-Ereignisse“ angezeigt.
3. Wahlweise: Aktivieren Sie zum Protokollieren einer Arbeitsnotiz für jedes Mal, wenn ein Ereignis für den Security Incident zusammengefasst wird, das Kontrollkästchen, um diese Option zu aktivieren.
  Die Arbeitsnotiz protokolliert, dass ein neues korreliertes Ereignis hinzugefügt wurde, zusammen mit einem Link zu den Details des zugehörigen Ereignisses.
Sie haben erfolgreich Werte aus einem Korrelationsereignis Feldern in einem Security Incident SIR zugeordnet. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien für die Incident-Generierung einzuschränken. Sie haben Korrelationsereignisse auch zu vorhandenen SIR Security Incidents aggregiert, wenn Ereignisfeldwerte den konfigurierten Zusammenfassungskriterien entsprechen.

Wählen Sie eine aus, um mit der Profilkonfiguration fortzufahren.

Option	Beschreibung

Fortsetzen	Das Zuordnungsformular wird angezeigt. Vorschau ist auf dem Fortschrittsbalken ausgewählt. Der nächste Schritt besteht in der Vorschau der Felder, die Sie im Security Incident SIR zugeordnet haben.
Aktualisierung	Ihre Daten werden gespeichert, und die Liste ArcSight ESM Ereignisprofile wird angezeigt.
Zurück	Das Formular „Auswahl des Korrelationsereignisses“ wird angezeigt.
Löschen	Löschen Sie dieses Ereignisprofil, und die Liste der Ereignisprofile wird angezeigt.