Options supplémentaires : automatiser les mises à jour et la fermeture des événements corrélés en fonction de l’état SIR de l’incident
L’intégration ArcSight ESM dispose d’une interface bidirectionnelle qui permet à la fois aux événements de corrélation de créer des incidents de sécurité, ainsi qu’à la possibilité de mettre à jour les événements de corrélation une fois l’incident de sécurité créé et/ou fermé avec les détails pertinents de l’incident tels que le numéro de l’incident de sécurité, le groupe d’affectation, SIR l’URL de l’incident, etc.
Avant de commencer
Procédure
-
Suivez les instructions ci-dessous pour terminer la configuration de la mise à jour des événements corrélés lors de la création de l’incident de sécurité.
Option ou champ Description Mettre à jour les événements corrélés lors de la création d'incidents SIR Sélectionnez cette option si vous souhaitez mettre à jour l’étape ArcSight ESM d’événement de corrélation et mettre à jour l’événement avec des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’événement de corrélation. Cela peut se produire pour des événements de corrélation qui pourraient soit créer un nouvel incident de sécurité, soit regrouper des incidents de sécurité existants. Remarque :Si cette option n’est pas sélectionnée, l’étape de l’événement ne sera pas mise à jour lors de la création de l’incident de sécurité.Mise à jour de l'étape d'événement corrélé Sélectionnez une option d’étape dans la liste de choix d’étapes d’événements corrélés Mettre à jour qui affiche toutes les étapes disponibles récupérées à partir du ArcSight ESM serveur. Étape d’événement corrélé non configurée : si vous n’avez configuré aucune étape d’événement corrélé dans votre ServiceNow AI Platform instance, vous ne verrez que l’étape d’affectation : configuration initiale dans la liste de choix Mise à jour de l’étape d’événement corrélé. Pour configurer l’étape, procédez comme suit :- Entrez un ID de ressource dans le champ Entrer l’ID de ressource d’étape et cliquez sur Soumettre. L’ID de ressource est validé dans la ArcSight ESM console et l’écran suivant s’affiche.
- Cliquez sur Enregistrer pour enregistrer la nouvelle étape (Surveillance).
- Cliquez sur la liste déroulante Sélectionner l’étape de l’événement corrélé.
- Vous pouvez sélectionner l’étape nouvellement créée dans la liste.
Étape d’événement corrélé déjà configurée : si vous avez déjà configuré l’étape d’événement corrélé, procédez comme suit :- Sélectionnez Utiliser l’étape précédemment affectée dans la liste de choix de mise à jour de l’étape d’événement corrélé.
- Sélectionnez une étape existante dans la liste de choix Sélectionner l’étape d’événement corrélé, comme indiqué ci-dessous.
- Commentaires initiaux publiés sur l’événement corrélé : en plus de mettre à jour la valeur de l’étape de l’événement de corrélation, vous pouvez également publier des commentaires sur les annotations de l’étape de corrélation. Comme indiqué dans les instructions, vous pouvez modifier le texte par défaut affiché dans la section Commentaires, y compris ajouter ou modifier les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ sur le formulaire d’incident de Réponse aux incidents de sécurité.
Remarque :Vous pouvez utiliser les étapes par défaut définies dans la ArcSight ESM console ou créer vos propres étapes personnalisées. Pour créer une étape, procédez comme suit :- Dans la ArcSight ESM console, sélectionnez . L’onglet Inspecter/Modifier s’affiche.
- Définissez la nouvelle étape et ne cochez pas la case Utilisateur requis . Assurez-vous que l’étape est définie correctement et qu’elle se trouve à la bonne position dans le cycle de vie de l’événement.
- Entrez un ID de ressource dans le champ Entrer l’ID de ressource d’étape et cliquez sur Soumettre. L’ID de ressource est validé dans la ArcSight ESM console et l’écran suivant s’affiche.
-
Remplissez les champs du formulaire.
Option ou champ Description Mettre à jour les événements corrélés lors de la fermeture d'incidents SIR Sélectionnez cette option si vous souhaitez mettre à jour l’état de l’événement de corrélation et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est fermé à partir de l’événement corrélé. Cela se produit à la fois pour les événements notables déclencheurs initiaux qui créent l’incident de sécurité et pour les événements agrégés. Remarque :Si cette option n’est pas sélectionnée, l’étape de l’événement ne sera pas mise à jour lorsque l’incident de sécurité sera clôturé.Mise à jour de l'étape d'événement corrélé Sélectionnez une option d’étape dans le menu qui affiche toutes les étapes disponibles récupérées à partir du ArcSight ESM serveur. Sélectionnez la valeur d’étape à définir pour tous les événements de corrélation lorsqu’un incident de sécurité doit être fermé. Remarque :Les étapes affichées ici sont basées sur les étapes configurées dans la section Mises à jour initiales de l’événement de corrélation.Sélectionner l'étape d'événement corrélé Sélectionnez un état approprié ici. Commentaires de fermeture republiés sur l’événement corrélé Outre la mise à jour de la valeur de l’état de l’événement de corrélation, vous pouvez également publier des commentaires de fermeture dans les annotations d’événement de corrélation. Comme indiqué dans les instructions, vous pouvez modifier le texte par défaut affiché dans la section Commentaires, y compris ajouter ou modifier les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ sur le formulaire d’incident de Réponse aux incidents de sécurité.