Erstellen Sie ein Profil für ArcSight ESMIntegration der Korrelationsereigniserfassung
Als Anwender mit der Rolle „sn_si.admin“ erstellen Sie ein Profil in Ihrem Now PlatformInstanz und bestimmen, welche Korrelationsereignisse Security Incidents erstellen. Vor Now Platform Security Incident Response( SIR) Security Incidents werden aus Korrelationsereignissen erstellt. Die Feldwerte aus Ereignissen werden in einem Layout von angezeigt Now PlatformSecurity Incident, damit Sie eine Vorschau anzeigen können, wie der tatsächliche Security Incident erstellt wird.
Vorbereitungen
Warum und wann dieser Vorgang ausgeführt wird
Korrelationsereignisse werden automatisch in erfasst Security OperationsUmgebung von Now PlatformInstanz abhängig vom definierten Profiltyp. Ein Profil ist eine Kapselung eines Typs von Korrelationsereignissen wie nicht autorisierte Zugriffsversuche oder Malware.
Nachdem ein Korrelationsereignis erfasst wurde, können Sie einzelne Korrelationsereignisfelder den entsprechenden Feldern im Security Incident zuordnen. Sie können Korrelationsereignisse filtern, um anzugeben, welche Ereignisse Security Incidents erstellen. Sie können beispielsweise Filter bevorzugen, die Security Incidents nur für Korrelationsereignisse erstellen, die als hohes Risiko identifiziert wurden. Sie können auch zusätzliche Ereigniszusammenfassungskriterien definieren, damit eingehende doppelte Korrelationsereignisse zu einem offenen Security Incident zusammengefasst werden. Schließlich können Sie einen Erfassungszeitplan definieren und das Profil aktivieren.
Namen für die Ereignisprofile in Ihrem Now PlatformInstanz muss eindeutig sein und kann jeweils nur einem aktiven Ereignisprofil zugeordnet werden.