Wählen Sie Korrelationsereignisse für aus ArcSight ESMIntegration der Ereigniserfassung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Basierend auf ArcSight ESMQuelle und Abfrageanzeige konfiguriert, wählen Sie eine Korrelationsereignisregel für das Profil aus.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Zeigen Sie die verfügbaren Korrelationsereignisse an, die in der Korrelationsereignisauswahl in Ihrer Now Platform-Instanz aufgeführt sind, damit Sie bestimmen können, welche Korrelationsereignisse Sie erfassen und Security Incidents erstellen möchten. Sie können für jedes Profil nur einen Korrelationsregeltyp aus der Liste auswählen.

    Die Abfrageanzeige-ID und der Abfrageanzeige-Name, wie im Formular „Abfrageanzeige“ angegeben, werden angezeigt. Wählen Sie ein Korrelationsereignis aus der Liste aus, mit dem Sie eine Konfigurationszuordnung für das erfasste korrelierte Ereignis erstellen können.

    Klicken Sie im Feld Korrelationsereignisliste auf die Dropdown-Liste. Eine Liste von Korrelationsereignissen, die in vorhanden sind ArcSight ESMAbfrage-Viewer-Konsole wird angezeigt.

    Klicken Sie Auf Fahren Sie Fort Um mit dem nächsten Schritt im Assistenten fortzufahren.