Erstellen und benennen Sie das Profil für ArcSight ESMIntegration der Ereigniserfassung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Sie können ein Profil einrichten, um Korrelationsereignisse zu erfassen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Dient zum Erstellen eines Ereignisprofils für ein Korrelationsereignis in Now PlatformInstanz, navigieren Sie zu ArcSight-ESM-Integration > ArcSight ESM-Ereignisprofilan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder aus.

      Ein Beispiel für ein ausgefülltes Formular folgt der Tabelle.

      FeldBeschreibung
      Name Eindeutiger Name für das Profil. Wenn Namen nicht eindeutig sind, wird ein Fehler angezeigt, und doppelte Profilnamen werden nicht gespeichert.

      Profilnamen in Ihrem Now PlatformInstanz muss eindeutig sein.
      Aktiv Heck-Feld ist standardmäßig gelöscht. Wenn diese Option deaktiviert ist, ist das Profil nicht aktiv, und die Erfassung findet nicht statt.
      Hinweis:
      Sie sollten alle Abschnitte im Profil abschließen, bevor Sie es aktivieren.
      ArcSight-Quelle Die ArcSight ESMServer, der während des ersten Authentifizierungsschritts konfiguriert wurde. Wenn Sie mehrere haben ArcSight ESMKonfigurierte Server wählen Sie den entsprechenden Server für die Korrelationsereignistypen aus, die für das Profil erfasst werden. Sie müssen einen Wert auswählen.
      Abfrage-Viewer-ID Geben Sie die Ressourcen-ID der konfigurierten Abfrageanzeige in ein ArcSight ESMKonsole. Die Ressourcen-ID ist ein eindeutiger Bezeichner für alle Abfrageanzeigen, die auf dem ArcSight ESM-Server konfiguriert sind. Sobald die Ressourcen-ID übermittelt wurde, wird der Name der Abfrageansicht zurückgegeben, um sicherzustellen, dass der richtige Abfrageanzeige ausgewählt wurde. Im folgenden Abschnitt finden Sie einen Screenshot, in dem erläutert wird, wie die Ressourcen-ID für den ausgewählten Abfragebetrachter in bestimmt wird ArcSight ESM.
      Bestellung Der Standardwert ist 100.

      Wenn Sie mehrere Profile erstellt haben, bietet dieser Wert eine Laufzeitausführungspriorität, wenn mindestens zwei Profile dieselben Auslösebedingungen haben. Der Workflow im Profil mit der niedrigsten Zahl hat die höchste Priorität.
      (Optional) Beschreibung Zusätzlicher Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.
      Die folgende Abbildung ist ein Beispiel für ein ausgefülltes Formular.
      ArcSight-Ereignisprofil: Name
      Nachdem Sie die Profildetails eingegeben haben, klicken Sie auf Fahren Sie Fort . Die Abfrageanzeige-ID wird validiert und wenn eine entsprechende Ressourcen-ID in vorhanden ist ArcSight ESMAbfrage-Viewer: Der Name des Abfrage-Viewers wird wie unten gezeigt zurückgegeben. Wenn die Validierung fehlschlägt, überprüfen Sie, ob die Ressourcen-ID in vorhanden ist ArcSight ESMKonsole. Wenn die Ressourcen-ID nicht gefunden wird, suchen Sie die richtige Ressourcen-ID, und geben Sie sie in das Profil ein.
      ArcSight-Abfrageanzeige

    Nächste Maßnahme

    Der nächste Schritt besteht darin, die Korrelationsereignistypen für die Erfassung aus der Abfrageanzeige auszuwählen, die im vorherigen Schritt ausgewählt wurde.