Options supplémentaires : automatisez les mises à jour et la fermeture des événements corrélés en fonction de l’état de SIR l’incident

Rversion finale: Xanadu

Mis à jour 1 août 2024

4 minutes de lecture

L’intégration ArcSight ESM dispose d’une interface bidirectionnelle qui permet à la fois les événements de corrélation pour créer des incidents de sécurité, ainsi que la possibilité de mettre à jour les événements de corrélation une fois l’incident de sécurité créé et/ou fermé avec les détails d’incident pertinents tels que le numéro d’incident de sécurité, le groupe d’affectation, SIR l’URL de l’incident, entre autres.

Avant de commencer

Rôle requis : sn_si.admin

Procédure

Si la page Options supplémentaires de la barre de progression n’est pas affichée, sélectionnez Options supplémentaires.

Suivez les instructions ci-dessous pour terminer la configuration de mise à jour des événements corrélés lors de la création de l’incident de sécurité.

Option ou champ	Description
Mettre à jour les événements corrélés lors de la création de l’incident SIR	Sélectionnez cette option si vous souhaitez mettre à jour l’étape de l’événement de corrélation dans ArcSight ESM et mettre à jour l’événement avec des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’événement de corrélation. Cela peut se produire pour les événements de corrélation susceptibles de créer un nouvel incident de sécurité ou regrouper des incidents de sécurité existants. Remarque : Si cette option n’est pas sélectionnée, l’étape d’événement n’est pas mise à jour lors de la création de l’incident de sécurité.
Mise à jour de l’étape de l’événement corrélé	Sélectionnez une option d’étape dans la liste de choix Mise à jour de l’étape de l’événement corrélé qui affiche toutes les étapes disponibles récupérées à partir du ArcSight ESM serveur.

Option ou champ

Description

Mettre à jour les événements corrélés lors de la création de l’incident SIR

Sélectionnez cette option si vous souhaitez mettre à jour l’étape de l’événement de corrélation dans ArcSight ESM et mettre à jour l’événement avec des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’événement de corrélation. Cela peut se produire pour les événements de corrélation susceptibles de créer un nouvel incident de sécurité ou regrouper des incidents de sécurité existants.

Remarque :

Si cette option n’est pas sélectionnée, l’étape d’événement n’est pas mise à jour lors de la création de l’incident de sécurité.

Mise à jour de l’étape de l’événement corrélé

Sélectionnez une option d’étape dans la liste de choix Mise à jour de l’étape de l’événement corrélé qui affiche toutes les étapes disponibles récupérées à partir du ArcSight ESM serveur.

Étape d’événement corrélé non configurée : si vous n’avez configuré aucune étape d’événement corrélé dans votre Now Platform instance, vous verrez uniquement l’étape Affecter : configuration initiale dans la liste de choix Mise à jour de l’étape d’événement corrélé. Pour configurer l’étape, procédez comme suit :

Entrez un ID de ressource dans le champ Saisir l’ID de ressource de l’étape et cliquez sur Soumettre. L’ID de ressource est validé dans la ArcSight ESM console et l’écran suivant s’affiche.
Cliquez sur Enregistrer pour enregistrer la nouvelle étape (Monitoring).
Cliquez sur la liste déroulante Sélectionner l’étape de l’événement corrélé.
Vous pouvez sélectionner l’étape nouvellement créée dans la liste.

Étape d’événement corrélé déjà configurée : si vous avez déjà configuré l’étape d’événement corrélé, procédez comme suit :

Sélectionnez Utiliser l’étape précédemment affectée dans la liste de choix Mettre à jour l’étape de l’événement corrélé.
Sélectionnez une étape existante dans la liste de choix Sélectionner l’étape de l’événement corrélé, comme indiqué ci-dessous.
Commentaires initiaux renvoyés à l’événement corrélé : en plus de mettre à jour la valeur d’étape de l’événement de corrélation, vous pouvez également poster des commentaires sur les annotations d’étape de corrélation. Comme indiqué dans les instructions, vous pouvez modifier le texte par défaut affiché dans la section Commentaires, y compris ajouter ou modifier les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ du formulaire d’incident de Réponse aux incidents de sécurité.

Remarque :

Vous pouvez utiliser les étapes par défaut définies dans la ArcSight ESM console ou créer vos propres étapes personnalisées. Pour créer une étape, procédez comme suit :

Dans la ArcSight ESM console, sélectionnez Fichier > Nouveau > Étape. L’onglet Inspecter/Modifier s’affiche.
Définissez la nouvelle étape et ne cochez pas la case Utilisateur requis . Assurez-vous que l’étape est définie correctement et qu’elle se trouve à la bonne position dans le cycle de vie de l’événement.

Dans la section Automatisation de la fermeture de l’événement corrélé, vous pouvez définir comment mettre à jour l’incident de sécurité lorsqu’il est fermé.

Renseignez les champs du formulaire.

Option ou champ	Description
Mettre à jour les événements corrélés lors de la fermeture de l’incident SIR	Sélectionnez cette option si vous souhaitez mettre à jour l’état de corrélation de l’événement et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est fermé à partir de l’événement corrélé. Cela se produira à la fois pour les événements notables déclencheurs initiaux qui créent l’incident de sécurité ainsi que pour les événements agrégés. Remarque : Si cette option n’est pas sélectionnée, l’étape de l’événement ne sera pas mise à jour lorsque l’incident de sécurité sera fermé.
Mise à jour de l’étape de l’événement corrélé	Sélectionnez une option d’étape dans le menu qui affiche toutes les étapes disponibles récupérées à partir du ArcSight ESM serveur. Sélectionnez la valeur d’étape à définir pour tous les événements de corrélation lorsqu’un incident de sécurité doit être fermé. Remarque : Les étapes affichées ici sont basées sur les étapes configurées dans la section Mises à jour initiales de l’événement de corrélation.
Sélectionner l’étape de l’événement corrélé	Sélectionnez un état approprié ici.
Commentaires de fermeture renvoyés à l’événement corrélé	En plus de mettre à jour la valeur d’état de l’événement de corrélation, vous pouvez également publier des commentaires de fermeture sur les annotations d’événement de corrélation. Comme indiqué dans les instructions, vous pouvez modifier le texte par défaut affiché dans la section Commentaires, y compris ajouter ou modifier les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ du formulaire d’incident de Réponse aux incidents de sécurité.

Cliquez sur Terminer pour terminer la configuration.
Une boîte de dialogue de confirmation s’affiche. Vous avez terminé avec succès l’installation et la configuration de l’intégration. Activez ce profil pour extraire des événements de corrélation de la ArcSight ESM console en fonction de votre planification.