Options supplémentaires : Automatiser les mises à jour et la fermeture des événements corrélés en fonction de l’état de SIR l’incident

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

4 minutes de lecture

L’intégration ArcSight ESM dispose d’une interface bidirectionnelle qui permet à la fois aux événements de corrélation de créer des incidents de sécurité, ainsi qu’à la mise à jour des événements de corrélation une fois l’incident de sécurité créé et/ou fermé avec les détails d’incident pertinents tels que le numéro d’incident de sécurité, le groupe d’affectation, SIR l’URL de l’incident, etc.

Avant de commencer

Rôle requis : sn_si.admin

Procédure

Si la page Options supplémentaires de la barre de progression n’est pas affichée, sélectionnez Options supplémentaires.

Suivez les instructions ci-dessous pour terminer la configuration en vue de la mise à jour des événements corrélés lors de la création de l’incident de sécurité.

Option ou champ	Description
Mettre à jour les événements corrélés lors de la création de l’incident SIR	Sélectionnez cette option si vous souhaitez mettre à jour l’étape d’événement de corrélation dans ArcSight ESM et mettre à jour l’événement avec des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’événement de corrélation. Cela peut se produire pour les événements de corrélation susceptibles de créer un nouvel incident de sécurité ou regrouper les incidents de sécurité existants. Remarque : Si cette option n’est pas sélectionnée, l’étape de l’événement ne sera pas mise à jour lors de la création de l’incident de sécurité.
Mise à jour de l’étape de l’événement corrélé	Sélectionnez une option d’étape dans la liste de choix Mise à jour de l’étape de l’événement corrélé qui affiche toutes les étapes disponibles récupérées à partir du ArcSight ESM serveur.

Option ou champ

Description

Mettre à jour les événements corrélés lors de la création de l’incident SIR

Sélectionnez cette option si vous souhaitez mettre à jour l’étape d’événement de corrélation dans ArcSight ESM et mettre à jour l’événement avec des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’événement de corrélation. Cela peut se produire pour les événements de corrélation susceptibles de créer un nouvel incident de sécurité ou regrouper les incidents de sécurité existants.

Remarque :

Si cette option n’est pas sélectionnée, l’étape de l’événement ne sera pas mise à jour lors de la création de l’incident de sécurité.

Mise à jour de l’étape de l’événement corrélé

Sélectionnez une option d’étape dans la liste de choix Mise à jour de l’étape de l’événement corrélé qui affiche toutes les étapes disponibles récupérées à partir du ArcSight ESM serveur.

Étape d’événement corrélée non configurée : si vous n’avez configuré aucune étape d’événement corrélée dans votre Now Platform instance, vous verrez uniquement l’étape d’affectation : configuration initiale dans la liste de choix Mise à jour de l’étape d’événement corrélé. Pour configurer l’étape, procédez comme suit :

Entrez un ID de ressource dans le champ Entrer l’ID de ressource d’étape et cliquez sur Soumettre. L’ID de ressource est validé dans la ArcSight ESM console et l’écran suivant s’affiche.
Cliquez sur Enregistrer pour enregistrer la nouvelle étape (Monitoring).
Cliquez sur la liste déroulante Sélectionner l’étape de l’événement corrélé.
Vous pouvez sélectionner l’étape nouvellement créée dans la liste.

Étape d’événement corrélé déjà configurée : si vous avez déjà configuré l’étape d’événement corrélé, procédez comme suit :

Sélectionnez Utiliser l’étape précédemment affectée dans la liste de choix Mettre à jour l’étape de l’événement corrélé.
Sélectionnez une étape existante dans la liste de choix Sélectionner l’étape de l’événement corrélé, comme indiqué ci-dessous.
Commentaires initiaux renvoyés à l’événement corrélé : en plus de mettre à jour la valeur d’étape de l’événement de corrélation, vous pouvez également publier des commentaires dans les annotations d’étape de corrélation. Comme indiqué dans les instructions, vous pouvez modifier le texte par défaut affiché dans la section des commentaires, y compris ajouter ou modifier les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ du formulaire d’incident de Réponse aux incidents de sécurité.

Remarque :

Vous pouvez soit utiliser les étapes par défaut définies dans la ArcSight ESM console, soit créer vos propres étapes personnalisées. Pour créer une étape, procédez comme suit :

Dans la ArcSight ESM console, sélectionnez Fichier > Nouveau > Étape. L’onglet Inspecter/Modifier s’affiche.
Définissez la nouvelle étape et ne cochez pas la case Utilisateur requis . Assurez-vous que l’étape est définie correctement et qu’elle se trouve dans la bonne position dans le cycle de vie de l’événement.

Dans la section Automatisation de la fermeture des événements corrélés, vous pouvez définir comment mettre à jour l’incident de sécurité lorsqu’il est fermé.

Renseignez les champs du formulaire.

Option ou champ	Description
Mettre à jour les événements corrélés lors de la fermeture de l’incident SIR	Sélectionnez cette option si vous souhaitez mettre à jour l’état de l’événement de corrélation et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est fermé à partir de l’événement corrélé. Cela se produira à la fois pour les événements notables déclencheurs initiaux qui créent l’incident de sécurité, ainsi que pour les événements agrégés. Remarque : Si cette option n’est pas sélectionnée, l’étape d’événement ne sera pas mise à jour lorsque l’incident de sécurité sera fermé.
Mise à jour de l’étape de l’événement corrélé	Sélectionnez une option d’étape dans le menu qui affiche toutes les étapes disponibles récupérées à partir du ArcSight ESM serveur. Sélectionnez la valeur d’étape à définir pour tous les événements de corrélation lorsqu’un incident de sécurité doit être fermé. Remarque : Les étapes affichées ici sont basées sur les étapes configurées dans la section Mises à jour initiales de l’événement de corrélation.
Sélectionner l’étape de l’événement corrélé	Sélectionnez un statut approprié ici.
Commentaires de fermeture renvoyés à l’événement corrélé	En plus de mettre à jour la valeur d’état de l’événement de corrélation, vous pouvez également publier des commentaires de fermeture dans les annotations d’événements de corrélation. Comme indiqué dans les instructions, vous pouvez modifier le texte par défaut affiché dans la section des commentaires, y compris ajouter ou modifier les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ du formulaire d’incident de Réponse aux incidents de sécurité.

Cliquez sur Terminer pour terminer la configuration.
Une boîte de dialogue de confirmation s’affiche. Vous avez terminé avec succès l’installation et la configuration de l’intégration. Activez ce profil pour extraire des événements de corrélation de la ArcSight ESM console en fonction de votre planification.