Zuordnungskorrelationsereignisfelder für ArcSight ESM Integration der Ereigniserfassung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Nachdem Sie die spezifische Korrelationsereignisregel aus der Liste identifiziert haben, besteht der nächste Schritt darin, Korrelationsereignisfelder den Feldern im Security Incident-Formular zuzuordnen.

    Übersicht über die Zuordnungskorrelationsereignisfelder

    Für den Zuordnungsschritt können Sie Beispielkorrelationsereignisse für die ausgewählte Korrelationsregel erfassen. Während dieser Zuordnungsphase können Sie sicherstellen, dass alle relevanten Korrelationsereignisfelddaten dem entsprechenden Ort in zugeordnet werden SIR Incident-Formular und visualisieren Sie dann SIR Incident im Vorschauabschnitt.

    Die folgende Abbildung zeigt die Standardzuordnungskonfiguration, die zum Erstellen des Korrelationsereignisprofils bereitgestellt wird. Sie können die Felder anpassen, die den Security Incident ausfüllen.
    ArcSight ESM: Profil erstellen: Standardzuordnung

    Wenn Sie auf klicken Ereignisse Abrufen , Die Feldnamen des Korrelationsereignisses und die entsprechenden Werte werden auf der linken Seite des Formulars ausgefüllt. Dies sind die ArcSight ESM Korrelationsereignisfelder, die den Security Incident-Feldern zugeordnet werden können.

    Möglicherweise möchten Sie einige Beispielkorrelationsereignisse in Ihrer Konsole überprüfen, um sie für den Konfigurationsschritt der Feldzuordnung zu erfassen. Dieser Schritt wird auf der Fortschrittsleiste mit Zuordnung bezeichnet. Wenn diese Seite nicht angezeigt wird, klicken Sie auf Zuordnung Auf der Fortschrittsleiste. Sie können bis zu fünf Beispielkorrelationsereignisse aus erfassen ArcSight ESM Manager für die ausgewählte Korrelationsregel zur Unterstützung des Feldzuordnungsprozesses. Es gibt Optionen zum Erfassen der fünf neuesten Korrelationsereignisse für das ausgewählte Korrelationsereignis oder zum Erfassen von bis zu fünf spezifischen Korrelationsereignissen basierend auf den Ereignis-IDs.

    Nachfolgend finden Sie eine Zusammenfassung der Schritte, die zum Zuordnen von Korrelationsereignissen erforderlich sind:
    • Feldzuordnung: Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Korrelationsereignisfelder von der linken Seite ziehen und auf dem ablegen SIR Incident-Zuordnungsabschnitt auf der rechten Seite. Die Zuordnung auf der rechten Seite ordnet das Feld „eingehendes Korrelationsereignis“ einem Feld für ausgehende Security Incidents zu.
    • Zuordnungs-Experience: Passen Sie das Zuordnungsraster an, indem Sie Felder mithilfe des +-Symbols unten im SIR-Incident-Feldzuordnungsabschnitt hinzufügen oder entfernen. Verfolgen Sie übersehene oder zuvor zugeordnete Felder mit der bereitgestellten Farbcodierung (zugeordnete Felder sind ausgegraut, blaue Felder sind nicht zugeordnet).
    • Bedingungen für die Incident-Generierung: Sobald der Zuordnungsabschnitt abgeschlossen ist, können Sie Filterbedingungen definieren, um zu filtern, welche Korrelationsereignisse Security Incidents erstellen sollen, vs. Korrelationsereignisse, die herausgefiltert werden sollen, z. B. Korrelationsereignisse mit niedriger Priorität. Dies geschieht im Abschnitt „Incident-Generierungsbedingungen“ unter dem Abschnitt „Stichprobenerfassung für Korrelation-Ereignis“.
    • Ereigniszusammenfassungskriterien: Definieren Sie zusätzliche Ereigniszusammenfassungskriterien, die ein eingehendes Korrelationsereignis zu einem vorhandenen aggregieren SIR Security Incident anstatt ähnliche, potenziell doppelte Incidents zu erstellen. Mithilfe von Feldübereinstimmungswertkriterien für jedes Profil kann diese zusätzliche Zusammenfassungsfunktion die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen sicherheitsrelevanten Ereignisdaten in einem einzelnen Security Incident platziert werden.
    • Formatfeldübersetzung: In bestimmten Fällen Ereignisfeldwerte im ArcSight ESM Das Korrelationsereignis wird möglicherweise nicht direkt in die Felder auf übersetzt SIR Security Incident. Für diese Werte können Sie einen Skripteditor verwenden, um Feldwerte für den Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind.

      Beispielsweise kann ein Kategoriewert „Malware-Warnung“ und „Virusinfektion“ mit dem Skripteditor unterschiedliche Feldwerte für die Quellkategorie haben, aber beide Werte können in eine allgemeine schädliche Code-Aktivität im Feld Kategorie übersetzt werden SIR Security Incident mithilfe der Funktionalität „Formatierungsfeldübersetzung“.

    Der nächste Schritt besteht darin, Beispielkorrelationsereignisse zu erfassen und Werte dem zuzuordnen SIR Security Incident-Felder.