Zuordnungsereignisfelder für ArcSight ESMIntegration der Ereigniserfassung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Nachdem Sie die spezifische Korrelationsereignisregel aus der Liste identifiziert haben, besteht der nächste Schritt darin, Korrelationsereignisfelder den Feldern im Security Incident-Formular zuzuordnen.

    Übersicht

    Für den Zuordnungsschritt können Sie Beispielkorrelationsereignisse für die ausgewählte Korrelationsregel erfassen. Während dieser Zuordnungsphase können Sie sicherstellen, dass alle relevanten Korrelationsereignisfelddaten dem entsprechenden Ort auf zugeordnet werden SIRIncident-Formular und visualisieren Sie dann SIRIncident im Vorschauabschnitt.

    Die folgende Abbildung zeigt die Standardzuordnungskonfiguration, die zum Erstellen des Korrelationsereignisprofils bereitgestellt wird. Sie können die Felder anpassen, die den Security Incident ausfüllen.
    ArcSight ESM: Profil erstellen: Standardzuordnung

    Wenn Sie auf klicken Ereignisse Abrufen , Die Feldnamen des Korrelationsereignisses und die entsprechenden Werte werden auf der linken Seite des Formulars ausgefüllt. Dies sind die ArcSight ESMKorrelationsereignisfelder, die den Security Incident-Feldern zugeordnet werden können.

    Möglicherweise möchten Sie einige Beispielkorrelationsereignisse auf Ihrer Konsole überprüfen, um sie für den Konfigurationsschritt der Feldzuordnung zu erfassen. Dieser Schritt wird auf der Fortschrittsleiste mit der Bezeichnung „Zuordnung“ bezeichnet. Wenn diese Seite nicht angezeigt wird, klicken Sie auf Zuordnung Auf dem Fortschrittsbalken. Sie können bis zu fünf Beispielkorrelationsereignisse aus erfassen ArcSight ESMManager für die ausgewählte Korrelationsregel, der beim Feldzuordnungsprozess unterstützt. Es gibt Optionen zum Erfassen der fünf neuesten Korrelationsereignisse für das ausgewählte Korrelationsereignis oder zum Erfassen von bis zu fünf spezifischen Korrelationsereignissen basierend auf den Ereignis-IDs.

    Nachfolgend finden Sie eine Zusammenfassung der Schritte, die zum Zuordnen von Korrelationsereignissen erforderlich sind:
    • Feldzuordnung: Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Korrelationsereignisfelder von der linken Seite ziehen und auf ablegen SIRIncident-Zuordnungsabschnitt auf der rechten Seite. Die Zuordnung auf der rechten Seite ordnet das Feld „eingehendes Korrelationsereignis“ einem Feld für ausgehende Security Incidents zu.
    • Zuordnungs-Experience: Passen Sie das Zuordnungsraster an, indem Sie Felder mithilfe des +-Symbols unten im Abschnitt „SIR-Incident-Feldzuordnung“ hinzufügen oder entfernen. Verfolgen Sie übersehene oder zuvor zugeordnete Felder mit der bereitgestellten Farbcodierung nach (zugeordnete Felder sind ausgegraut, blaue Felder sind nicht zugeordnet).
    • Bedingungen für die Incident-Generierung: Sobald der Zuordnungsabschnitt abgeschlossen ist, können Sie Filterbedingungen definieren, damit Sie filtern können, welche Korrelationsereignisse Security Incidents erstellen sollen, vs. Korrelationsereignisse, die herausgefiltert werden sollen, z. B. Korrelationsereignisse mit niedriger Priorität. Dies geschieht im Abschnitt „Bedingungen für die Incident-Generierung“ unter dem Abschnitt „Beispielerfassung für Korrelationsereignis“.
    • Ereigniszusammenfassungskriterien: Definieren Sie zusätzliche Ereigniszusammenfassungskriterien, die ein eingehendes Korrelationsereignis zu einem vorhandenen aggregieren SIRSecurity Incident, anstatt ähnliche, potenziell doppelte Incidents zu erstellen. Mithilfe von Feldkriterien, die den Wertkriterien für jedes Profil entsprechen, kann diese zusätzliche Zusammenfassungsfunktion die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen Daten zu wichtigen sicherheitsrelevanten Ereignissen in einem einzelnen Security Incident platziert werden.
    • Formatfeldübersetzung: In bestimmten Fällen Ereignisfeldwerte in ArcSight ESMDas Korrelationsereignis wird möglicherweise nicht direkt in die Felder auf übersetzt SIRSecurity Incident. Für diese Werte können Sie einen Skripteditor verwenden, um Feldwerte für den Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skripteditor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind.

      Mit dem Skripteditor kann beispielsweise ein Kategoriewert von Malware-Warnung und Vireninfektion verschiedene Feldwerte für die Quellkategorie haben, aber beide Werte können in eine allgemeine schädliche Codeaktivität im Feld Kategorie auf übersetzt werden SIRSecurity Incident mit der Funktionalität „Formatierungsfeld Übersetzung“.

    Der nächste Schritt besteht darin, Beispielkorrelationsereignisse zu erfassen und Werte zu zuzuordnen SIRSecurity Incident-Felder.