Erstellen Sie einen Zeitplan für ArcSight ESMEreigniserfassung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Sie können den Abruf- oder Abrufzeitplan für neue korrelierte Ereignisse definieren. Während dieses Schritts können Sie die vorhandenen Einstellungen für den Abruf von Korrelationsereignissen überprüfen oder die Planung nach Bedarf ändern. Mit diesem Schritt können Sie auch historische Korrelationsereignisse mithilfe eines Datumsbereichs abrufen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können auswählen, ob Sie während des Planungsschritts historische Korrelationsereignisse erfassen möchten. Sie wählen auch aus, wie oft Sie nach zukünftigen neuen Korrelationsereignissen abfragen, die der Profilkonfiguration entsprechen.

    Als Anwender mit der Rolle „sn_si.admin“ konfigurieren Sie diese Abfrageintervalle pro Profil. Die Leistung von ArcSight ESMDie Integration der Korrelationsereigniserfassung kann von den verschiedenen Abfrageintervallen betroffen sein. Bei der Planung möchten Sie möglicherweise die Reduzierung des Abfrageaufwands für ausgleichen ArcSight ESMServer gegen den Wunsch, so bald wie möglich benachrichtigt zu werden, wenn ein Ereignis erstellt oder aktualisiert wird. Für jedes Profil ist ein fünfminütiger Standardwert festgelegt, aber Sie können diese Einstellung bei Bedarf auf eine Minute ändern.

    Neue und aktualisierte Korrelationsereignisse werden abgerufen

    Prozedur

    1. Wenn die Seite „Planung“ auf der Fortschrittsleiste nicht angezeigt wird, wählen Sie aus Zeitplanung .
    2. Wählen Sie eine Option aus, um zu planen, wie und wann Korrelationsereignisse aus der <ArcSight>-Konsole abgerufen werden.
      OptionBeschreibung
      • Feld „laufende Ereigniserfassung“ ausgewählt
      • Feld „Einmalabruf“ gelöscht
      		 Laufendes Ereignis

      Basierend auf der Standardeinstellung wird Now PlatformInstanz wird aus abgerufen ArcSight ESMServer für neue Korrelationsereignisse alle fünf Minuten. Security Incidents werden erstellt, wenn Korrelationsereignisse gefunden werden und die Filterkriterien für die Incident-Generierung übereinstimmen. Um den Overhead der Erfassungsabfrage auszugleichen, um die aktuellsten Daten abzurufen, sind fünf Minuten die Standardeinstellung. Dieser Wert kann jedoch bei Bedarf auf eine Minute geändert werden.
      • Feld „laufende Ereigniserfassung“ gelöscht
      • Feld „Einmalabruf“ ausgewählt
      		 Einmaliger Abruf

      Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf zum Erfassen historischer Korrelationsereignisse wünschen.

      Wenn diese Einstellung konfiguriert ist, wird einmal ein Profil verwendet, um Korrelationsereignisse aus historischen Ereignissen abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Feld seit Datum auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Warnungen beginnen möchten. Ab dem Wert seit Datum werden Korrelationsereignisse bis zum aktuellen Datum abgerufen.

      Beachten Sie, dass Sie Ereignisse bereits sieben Tage ab dem aktuellen Datum abrufen können. Diese Funktionalität ist nicht darauf ausgelegt, erhebliche Mengen historischer Ereignisse aus Archivierungsgründen abzurufen, sondern eine minimale Anzahl von laufenden Ereignissen, die zum Zeitpunkt der Profilaktivierung aktiv bearbeitet werden.

      Nachdem die Korrelationsereignisse abgerufen wurden, ruft diese Einstellung ab dem aktuellen Datum keine weiteren Korrelationsereignisse für dieses Profil ab. Diese Einstellung füllt den Security Incident mit allen Korrelationsereignissen aus, die für den von Ihnen eingegebenen Bereich gefunden werden.

      ArcSight ESM: Profil erstellen: Zeitplan

      Als Beispiel für die Planung einer ersten Erfassungszeit für Korrelationsereignisse, wenn Sie täglich eine haben ArcSight ESMSicherheitsprüfung, die einmal täglich um 4 Uhr Ortszeit ausgeführt wird. Sie können das entsprechende Korrelationsereignisprofil in einrichten Now PlatformInstanz, die um 4:05 Uhr Ortszeit ausgeführt werden soll, um das Security Failure-Ereignis sofort zu erfassen und einen Security Incident zu erstellen. Eingabetaste 04 05 00 Im Feld „erste Ereigniserfassung“. Geben Sie im Feld Schritt (Minuten) ein 1440 (24 Stunden) zum Planen der nächsten Ereigniserfassung für 24 Stunden ab der ersten Ereigniserfassung. Sowohl die erste Ereigniserfassungszeit als auch die nächste Ereigniserfassungszeit werden in den Feldern angezeigt.

    3. Führen Sie die folgenden Schritte aus, um die Einstellungen für dieses Beispiel zu konfigurieren.
      1. Wählen Sie bei angezeigter Zeitplanseite die aus Laufende Ereigniserfassung Kontrollkästchen zum Aktivieren dieser Option.
      2. Geben Sie im Feld Schritt (Minuten) ein 1440 (24 Stunden).
      3. Klicken Sie auf Legen Sie die Zeit der ersten korrelierten Ereigniserfassung fest Kontrollkästchen zum Aktivieren der Bearbeitung der Felder „erste Ereigniserfassung“ und „nächste Ereigniserfassung“.
      4. Geben Sie im Feld Zeit der ersten Ereigniserfassung ein 04 05 00 .
        Im Feld nächste Ereigniserfassungszeit (geschätzt) wird die Zeit der nächsten Ereigniserfassung angezeigt.
    4. Klicken Sie Auf Fahren Sie Fort Um zur Seite „zusätzliche Optionen“ zu navigieren.
      Hinweis:
      Die Standardanzahl der Security Incidents, die an einem Tag erstellt und zusammengefasst werden können, und der Flow-Zeitraum sind in definiert ArcSight ESMIntegrationseinstellungen. Sie können diese Einstellungen bei Bedarf ändern. Details siehe ArcSight ESM Integrationseinstellungen für die Integration der Ereigniserfassung.