Erstellen Sie Zuordnungen für ArcSight ESMIntegration der Ereigniserfassung
In diesem Schritt erfassen Sie Beispielkorrelationsereignisse und ordnen den SIR Security Incident-Feldern Werte zu.
Vorbereitungen
Erforderliche Rolle: administrator, sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
Erstellen Sie anwenderdefinierte Zuordnungen, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Standardmäßig angezeigte Felder sind normalerweise wichtige Felder, die im Formular „Antwort auf Security Incidents“ ausgefüllt werden sollen. Diese Felder können jedoch entfernt werden, und zusätzliche Felder können mit den Schaltflächen + und - angezeigt werden. Erstellen Sie anwenderdefinierte Karten, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Durch das Anpassen der Felder können Sie zuordnen ArcSight ESMFelder, die nicht im Standardzuordnungsraster des Security Incidents angezeigt werden.
Prozedur
- Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie auf Zuordnung Auf dem Fortschrittsbalken.
- Sie können entweder die neuesten Beispielkorrelationsereignisse für die ausgewählte Korrelationsregel abrufen oder die eindeutigen Korrelationsereignis-IDs für die spezifischen Korrelationsereignisse angeben, die Sie für Ihre Experience der Korrelationsereigniszuordnung verwenden möchten.
-
Wählen Sie in der Dropdown-Liste eine der folgenden Optionen aus:
- Neueste Korrelationsereignisse abrufen
- Korrelationsereignisse basierend auf Ereignis-ID auswählen
Klicken Sie Auf Ereignisse Abrufen Zum Abrufen der neuesten Beispielkorrelationsereignisse aus ArcSight ESMKonsole für die ausgewählte Korrelationssuchregel.
Die Ergebnisse der Korrelationsereignisfelder und -Werte werden als einzelne Registerkarten angezeigt.
Der Abruf für Beispielkorrelationsereignisse kann einige Minuten dauern. Eine Nachricht, die angibt, dass die Transaktion funktioniert, wird oben auf dem Bildschirm angezeigt.
In der folgenden Abbildung werden die Feld-Name-Wert-Paare für das erfasste Korrelationsereignis oder die importierten Beispielereignisse auf der linken Seite dieses Formulars angezeigt, nachdem der Abruf der Erfassung abgeschlossen ist. Diese Werte sind die Werte, die Sie den Security Incident-Feldern auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zuordnen.
- Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken Sie auf der linken Seite des Formulars auf einen blauen Feldnamen.
-
Ziehen Sie den Feldnamen, z. B. Agent.Hostname , Und legen Sie es in einem Feld in der Spalte „Eingabeausdruck“ neben einem Feldnamen in der Spalte „Security Incident“ ab.
Damit Sie sicherstellen können, dass im Zuordnungsprozess keine Ereignisfelder übersehen oder dupliziert werden, sind Felder farbcodiert. Hellblaue Felder auf der linken Seite geben an, dass noch kein Korrelationsereignisfeld ausgewählt und dem Security Incident zugeordnet ist. Möglicherweise möchten Sie ein eingehendes Korrelationsfeld mehreren Feldern in einem Security Incident zuordnen.
Ein graues Feld gibt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Mit dieser Farbcodierung können Sie nachverfolgen, welche Ereignisfelder bereits für zukünftige Security Incident-Feldzuordnungen verwendet wurden.
-
Führen Sie die folgenden Schritte aus, um den Standardfeldern, die im Security Incident auf der rechten Seite des Formulars angezeigt werden, Felder hinzuzufügen.
-
Klicken Sie rechts neben dem Formular im Abschnitt „SIR-Incident-Feldzuordnung“ unten im Raster auf das Plussymbol.
Ein neues Feld wird angezeigt.
-
Erweitern Sie in der Spalte Security Incident die angezeigte Auswahlliste, und wählen Sie ein Feld aus.
In der erweiterten Auswahlliste für das neue Feld sind einige Felder schattiert. In der folgenden Abbildung Betroffener Anwender Hat einen grauen Hintergrund, da er im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für die Korrelationsereignisfelder auf der linken Seite des Formulars hilft diese Farbcodierung für die Security Incident-Felder auf der rechten Seite Ihnen, die bereits zugeordneten SIR-Incident-Felder nachzuverfolgen.
Hinweis:Damit mehrere erkennbare Elemente für denselben Security Incident angezeigt werden können Erkennbares Element Das Feld kann mehrmals verschiedenen Werten zugeordnet werden. Ebenso wird Konfigurationselement Und Arbeitsnotizen Felder unterstützen mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des Incidents eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Auswahlliste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Auswahlliste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt. - Geben Sie alternativ einen Wert in das Suchfeld für die neue Zeile ein.
-
Klicken Sie auf der linken Seite des Formulars mit der linken Maustaste, um auszuwählen Ereignis-ID Die Sie in wünschen Eingabeausdruck Feld.
Ordnen Sie es mit der Drag-and-Drop-Funktion neben Ihrem neuen Feld zu.
-
Klicken Sie rechts neben dem Formular im Abschnitt „SIR-Incident-Feldzuordnung“ unten im Raster auf das Plussymbol.
- Wahlweise:
Öffnen Sie den Skripteditor, und fahren Sie mit der Bearbeitung fort.
Weitere Informationen zum Skript-Editor finden Sie unter Verwenden Sie den Skript-Editor, um Korrelationsereigniswerte für zu formatieren ArcSight ESMIntegration.Filterbedingungen für die Incident-Generierung
- Wahlweise:
Nachdem Sie die vorherigen Feldzuordnungsschritte abgeschlossen haben, können Sie dieselben Feldwerte im Generator für Incident-Generierungsbedingungen verwenden, um zusätzliche Kriterien zu definieren, die ein eingehendes Korrelationsereignis erfüllen muss, um eine zu erstellen SIRSecurity Incident.
Führen Sie diese Schritte aus, um Bedingungen für die Incident-Generierung festzulegen.
-
Scrollen Sie im Formular zum Abschnitt „Bedingungen für Incident-Generierung“, und wählen Sie aus Filtern Sie basierend auf Bedingungen Kontrollkästchen zum Aktivieren der Option.
Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den spezifischen Bedingungen entsprechen, die in den Feldern beschrieben werden.
Die Optionen in den Auswahllisten für das erste Feld im Filterbedingungs-Generator entsprechen den Feldern, die im Abschnitt „Beispielerfassung für Korrelationsereignis“ für die von Ihnen erfassten Ereignisse angezeigt werden. Diese Felder sind dynamisch und ändern sich je nach Korrelationsereignissen, die Sie erfassen. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden und müssen genau mit den Werten von übereinstimmen ArcSight ESMKorrelationsereignis.
Legen Sie mithilfe der Auswahllisten und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
-
Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf UND Oder ODER .
Wenn UND Ist ausgewählt, alle Bedingungen müssen übereinstimmen. Wenn ODER Ist ausgewählt, jede Bedingung kann abgeglichen werden.
- Wahlweise:
Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest.
Das folgende Bild ist ein Beispiel mit zwei Bedingungen, die abgeglichen werden müssen, bevor Security Incidents erstellt werden.
Sie haben die Bedingungen für die Incident-Generierung so festgelegt, dass Security Incidents nur erstellt werden, wenn beide von Ihnen eingegebenen Filterbedingungen übereinstimmen.
Diese Art der Bedingungsfilterung für die Incident-Generierung hilft Ihnen, die Sicherheitsereignisse einzugrenzen und die Anzahl der unnötigen Security Incidents zu begrenzen, die Sie erstellen, ohne die zugrunde liegende Korrelationssuche zu ändern oder Ereignisse in herauszufiltern ArcSight ESM. Wenn zusätzliche Filterkriterien festgelegt sind, werden Incidents nur Korrelationsereignisse zugeordnet, die allen Kriterien entsprechen.
Hinweis:Wenn einer der Ereignisfeldnamen Sonderzeichen wie Anführungszeichen (“), Bindestriche (‘), Unterstriche (-) oder ampersands (@) enthält, müssen diese Zeichen möglicherweise zu Übersetzungszwecken ersetzt werden und möglicherweise einen doppelten Ereignisnamen erstellen. Die Zuordnung kann ordnungsgemäß erfolgen, es wird jedoch ein numerisches Suffix angehängt, um Felder mit doppelten Ereignisnamen zu unterscheiden. Beispiel: Wenn das erste Ereignisfeld lautetEreignisse.EreignisUnd das zweite Ereignisfeld istEreignisse.Ereignis, Diese Felder können nicht eindeutig identifiziert werden, da die verbleibenden Standardtextzeichen identisch sind. In diesem Fall wird dem zweiten Ereignisfeld ein Suffix hinzugefügt, und das Feld wird in umbenanntEreignisse@Ereignis(1).
Ereigniszusammenfassungskriterien zur Verarbeitung ähnlicher Korrelationsereignisse und zur Vermeidung doppelter Incidents -
Scrollen Sie im Formular zum Abschnitt „Bedingungen für Incident-Generierung“, und wählen Sie aus Filtern Sie basierend auf Bedingungen Kontrollkästchen zum Aktivieren der Option.
- Wahlweise:
Um die Erstellung doppelter Security Incidents zu vermeiden, definieren Sie zusätzliche Ereigniszusammenfassungskriterien, damit eingehende Korrelationsereignisse zu einem offenen Security Incident zusammengefasst werden.
Führen Sie die folgenden Schritte aus, um die Kriterien festzulegen:
-
Scrollen Sie zu Kriterien Für Ereigniszusammenfassung Abschnitt im Formular, und aktivieren Sie das Kontrollkästchen Zusammenfassungsbedingungen, um diese Option zu aktivieren.
Die Spalten mit übereinstimmenden Werten des Incident-Felds werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle anwenderdefinierten Felder enthalten, die auf konfiguriert sind SIRSecurity Incident.
-
Wählen Sie in der Liste verfügbar die Feldwerte aus, die Sie für vorhandene Security Incidents in abgleichen möchten Now PlatformUnd verschieben Sie sie in die Liste „ausgewählt“.
Alle von Ihnen ausgewählten Feldwerte müssen abgeglichen werden, um dieses eingehende Korrelationsereignis an einen vorhandenen Security Incident anzuhängen. Dies umfasst Felder, z. B. erkennbare Elemente und Konfigurationselemente, denen möglicherweise mehrere Korrelationsereignisfeldwerte zugeordnet sind. Alle Werte müssen übereinstimmen. Wenn nur eine Teilmenge der Werte übereinstimmt, werden die Bedingungen für die Ereigniszusammenfassung nicht erfüllt, und ein neuer Security Incident wird erstellt. Siehe Screenshot unten für die Feldzuordnung mit mehreren Werten.
Wenn ein neues Korrelationsereignis allen Werten entspricht, die im Zuordnungsschritt in den Bedingungen des Zusammenfassungsfelds ausgewählt sind, wird das neue Korrelationsereignis automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als SOC-Analyst, der mit Security Incidents arbeitet, können Sie alle hinzugefügten aggregierten Korrelationsereignisse in einer zugehörigen Liste zu einem Security Incident anzeigen. Alle zusammengefassten Korrelationsereignisse für einen Security Incident werden auf angezeigt Aggregierte ArcSight-Ereignisse Zugehörige Liste. Diese Liste enthält Details zu zugehörigen Zeitstempeln und aggregierten Feldwerten. Diese Informationen helfen Ihnen zu verstehen, warum diese Korrelationsereignisse zu vorhandenen Security Incidents aggregiert werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie zur linken Seite des Datensatzes unter Zugehörige Links Und klicken Sie auf Alle Zugehörigen Listen Anzeigen Link.Hinweis:Wenn diese zugehörige Liste nicht angezeigt wird, führen Sie die folgenden Schritte aus:- Klicken Sie mit der rechten Maustaste auf den Header des Security Incident-Formulars, und klicken Sie auf Konfigurieren > Zugehörige Listenan.
- Wählen Sie Aus Aggregierte ArcSight-Ereignisse Verschieben Sie sie in der Liste verfügbar in die Liste ausgewählt, und klicken Sie auf Speichern .
- Klicken Sie Auf Zugehörige Listen Anzeigen . Sie sehen jetzt Aggregierte ArcSight-Ereignisse Registerkarte im Abschnitt „zugehörige Liste“.
- Wahlweise:
Um eine Arbeitsnotiz für jedes Mal zu protokollieren, wenn ein Ereignis für den Security Incident aggregiert wird, aktivieren Sie das Kontrollkästchen, um diese Option zu aktivieren.
In der Arbeitsnotiz wird protokolliert, dass ein neues korreliertes Ereignis zusammen mit einem Link zu den korrelierten Ereignisdetails hinzugefügt wurde.
Sie haben Werte aus einem Korrelationsereignis erfolgreich zu Feldern in zugeordnet SIRSecurity Incident. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien für die Incident-Generierung einzuschränken. Sie haben auch Korrelationsereignisse zu vorhandenen aggregiert SIRSecurity Incidents, wenn Ereignisfeldwerte den konfigurierten Zusammenfassungskriterien entsprechen. -
Scrollen Sie zu Kriterien Für Ereigniszusammenfassung Abschnitt im Formular, und aktivieren Sie das Kontrollkästchen Zusammenfassungsbedingungen, um diese Option zu aktivieren.
-
Wählen Sie eine Option aus, um mit der Profilkonfiguration fortzufahren.
Option Beschreibung Fortsetzen Das Zuordnungsformular wird angezeigt. Vorschau Ist im Fortschrittsbalken ausgewählt. Der nächste Schritt besteht darin, eine Vorschau der Felder anzuzeigen, die Sie einem zugeordnet haben SIRSecurity Incident.
Aktualisieren Ihre Daten und werden gespeichert ArcSight ESMDie Liste „Ereignisprofile“ wird angezeigt. Zurück Das Formular zur Auswahl des Korrelationsereignisses wird angezeigt. Löschen Löschen Sie dieses Ereignisprofil, und die Liste „Ereignisprofile“ wird angezeigt.