Verwenden Sie den Skript-Editor zum Formatieren von Korrelationsereigniswerten für die ArcSight ESM -Integration

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie zusätzlich zu den direkt zugeordneten Feldern aus den erfassten Korrelationsereigniswerten den Skript-Editor, um während des Zuordnungsschritts Feldwerte im Security Incident zu formatieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Der Skript-Editor ändert die Werte eines ArcSight ESM -Korrelationsereignisfelds so, dass Werte, die vom Security Incident Now Platform SIR unterstützt werden, den Feldern „Kategorie“, „Configuration Item (CI“), „Erkennbares Element“ und anderen Security Incident-Feldern zugeordnet werden.

    In bestimmten Fällen werden die Werte des Korrelationsereignisses ArcSight ESM Referenzfeldern wie „Kategorie“, „Configuration Item (CI)“ und „Erkennbares Element“ im Security Incident zugeordnet. Als Benutzer mit der Rolle sn_si.admin möchten Sie möglicherweise die zugeordneten Ereignisfeldwerte bearbeiten, um Format- oder Datenwerte so zu übersetzen, dass sie den erwarteten Incident-Feldformaten und -Werten entsprechen. Wenn Sie den Wert eines ArcSight ESM -Korrelationsereignisses in einen Wert übersetzen möchten, der von diesen Feldern im Security Incident SIR unterstützt wird, verwenden Sie den Skript-Editor.

    Prozedur

    1. Klicken Sie bei angezeigtem Zuordnungsformular auf den Link, um den Skript-Editor zu öffnen.
    2. Wählen Sie in der Auswahlliste ein Zielfeld für den Wert aus, den Sie bearbeiten möchten.
    3. Alternativ können Sie im Abschnitt „SIR-Incident-Feldzuordnung“ auf das Klammersymbol [{}] neben einem Feld klicken, um den Skript-Editor für dieses Feld zu öffnen.

      In bestimmten Fällen ist möglicherweise eine Skripteinbindung für das Feld Konfigurationselement geeignet. Bei einem Korrelationsereignis stimmt beispielsweise ein Wert für das Configuration Item möglicherweise nicht mit überein.

      Wie in der folgenden Abbildung gezeigt, können Sie, wenn in der CMDB Now Platform für das Feld Konfigurationselement keine Übereinstimmung mit einem Hostnamen gefunden wird, die Regel so bearbeiten, dass das Feld Konfigurationselement ausgefüllt wird, sobald eine IP-Adresse gefunden wird.

      Der Editor wird mit dem Feld unter Zielfeld geöffnet.
    4. Geben Sie Änderungen am Skript ein, und klicken Sie auf Aktualisieren, um Ihre Änderungen zu speichern.
      Die Tabelle „Feldübersetzungen ArcSight ESM “ wird angezeigt.
    5. Schließen Sie die Tabelle, um zum Zuordnungsformular zurückzukehren.