Erstellen Sie einen Zeitplan für ArcSight ESM Ereigniserfassung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Sie können den Abruf- oder Abrufzeitplan für neue korrelierte Ereignisse definieren. Während dieses Schritts können Sie die vorhandenen Einstellungen für den Abruf von Korrelationsereignissen überprüfen oder die Planung nach Bedarf ändern. Mit diesem Schritt können Sie auch historische Korrelationsereignisse mithilfe eines Datumsbereichs abrufen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können auswählen, ob Sie während des Planungsschritts historische Korrelationsereignisse erfassen möchten. Sie wählen auch aus, wie oft Sie nach zukünftigen neuen Korrelationsereignissen abfragen, die der Profilkonfiguration entsprechen.

    Als Benutzer mit der Rolle sn_si.admin konfigurieren Sie diese Abfrageintervalle pro Profil. Die Leistung von ArcSight ESM Die Integration der Korrelationsereigniserfassung kann von den verschiedenen Abfrageintervallen beeinflusst werden. Bei der Planung möchten Sie möglicherweise die Reduzierung des Abfrageaufwands auf dem abgleichen ArcSight ESM Server gegen den Wunsch, so bald wie möglich benachrichtigt zu werden, wenn ein Ereignis erstellt oder aktualisiert wird. Für jedes Profil ist ein fünf-Minuten-Standardwert festgelegt. Sie können diese Einstellung jedoch bei Bedarf auf eine Minute ändern.

    Neue und aktualisierte Korrelationsereignisse werden abgerufen

    Prozedur

    1. Wenn die Seite „Zeitplanung“ im Fortschrittsbalken nicht angezeigt wird, wählen Sie aus Zeitplanung .
    2. Wählen Sie eines aus, um zu planen, wie und wann Korrelationsereignisse aus der <ArcSight>-Konsole abgerufen werden.
      OptionBeschreibung
      • Feld „laufende Ereigniserfassung“ ausgewählt
      • Feld „Einmalabruf“ gelöscht
      		 Laufendes Ereignis

      Basierend auf der Standardeinstellung ServiceNow AI Platform Instanz ruft aus ab ArcSight ESM Server für neue Korrelationsereignisse alle fünf Minuten. Security Incidents werden erstellt, wenn Korrelationsereignisse gefunden werden und die Filterkriterien für die Incident-Generierung erfüllt sind. Um den Overhead der Erfassungsabfrage auszugleichen, der die aktuellsten Daten abrufen möchte, ist die Standardeinstellung fünf Minuten. Dieser Wert kann jedoch bei Bedarf auf eine Minute geändert werden.
      • Feld „laufende Ereigniserfassung“ gelöscht
      • Feld „Einmalabruf“ ausgewählt
      		 Einmaliger Abruf

      Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf zum Erfassen historischer Korrelationsereignisse wünschen.

      Wenn diese Einstellung konfiguriert ist, wird einmal ein Profil verwendet, um Korrelationsereignisse aus historischen Ereignissen abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Feld seit Datum auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Warnungen beginnen möchten. Ab dem Wert seit Datum werden Korrelationsereignisse bis zum aktuellen Datum abgerufen.

      Beachten Sie, dass Sie Ereignisse bis zu sieben Tage ab dem aktuellen Datum abrufen können. Diese Funktionalität ist nicht darauf ausgelegt, erhebliche Mengen von historischen Ereignissen aus Archivierungsgründen abzurufen, sondern eine minimale Anzahl von laufenden Ereignissen, die zum Zeitpunkt der Profilaktivierung aktiv bearbeitet werden.

      Nachdem die Korrelationsereignisse abgerufen wurden, ruft diese Einstellung ab dem aktuellen Datum keine weiteren Korrelationsereignisse für dieses Profil ab. Diese Einstellung füllt den Security Incident mit allen Korrelationsereignissen aus, die für den von Ihnen eingegebenen Bereich gefunden werden.

      ArcSight ESM: Profil erstellen: Zeitplan

      Beispiel für die Planung einer ersten Erfassungszeit für Korrelationsereignisse, wenn Sie täglich eine haben ArcSight ESM Sicherheitsprüfung, die einmal täglich um 4 Uhr Ortszeit ausgeführt wird. Sie können das entsprechende Korrelationsereignisprofil in einrichten ServiceNow AI Platform Instanz, die um 4:05 UHR Ortszeit ausgeführt werden soll, um das Security Failure-Ereignis sofort zu erfassen und einen Security Incident zu erstellen. Geben Sie Ein 04 05 00 Im Feld erste Ereigniserfassung. Geben Sie im Feld Schritt (Minuten) den Wert ein 1440 (24 Stunden) zum Planen der nächsten Ereigniserfassung für 24 Stunden ab der ersten Ereigniserfassung. Sowohl die erste Ereigniserfassungszeit als auch die nächste Ereigniserfassungszeit werden in den Feldern angezeigt.

    3. Um die Einstellungen für dieses Beispiel zu konfigurieren, führen Sie die folgenden Schritte aus.
      1. Wenn die Seite „Zeitplanung“ angezeigt wird, wählen Sie aus Laufende Ereigniserfassung Kontrollkästchen zum Aktivieren dieser Option.
      2. Geben Sie im Feld Schritt (Minuten) den Wert ein 1440 (24 Stunden).
      3. Klicken Sie auf Legen Sie die Zeit der ersten korrelierten Ereigniserfassung fest Kontrollkästchen zum Aktivieren der Bearbeitung der Felder „erste Ereigniserfassung“ und „nächste Ereigniserfassung“.
      4. Geben Sie im Feld Zeit der ersten Ereigniserfassung ein 04 05 00 .
        Im Feld nächste Ereigniserfassungszeit (geschätzt) wird die Zeit der nächsten Ereigniserfassung angezeigt.
    4. Klicken Sie Auf Fahren Sie Fort Um zur Seite „zusätzliche Optionen“ zu navigieren.
      Hinweis:
      Die Standardanzahl von Security Incidents, die an einem Tag erstellt und zusammengefasst werden können, sowie der Flow-Zeitraum sind in definiert ArcSight ESM Integrationseinstellungen. Sie können diese Einstellungen bei Bedarf ändern. Details siehe ArcSight ESM Integrationseinstellungen für die Integration der Ereigniserfassung.