その他のオプション:SIR インシデント状況に基づく相関イベントの更新とクローズの自動化

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:5分

    • ArcSight ESM 統合には、セキュリティインシデントを作成する相関イベント、およびセキュリティインシデント番号、アサイン先グループ、SIR インシデント URL などの関連するインシデントの詳細を使用して、セキュリティインシデントが作成/クローズされると相関イベントを更新する機能を許可する双方向インターフェイスがあります。

    始める前に

    必要なロール:sn_si.admin

    手順

    1. 進捗状況バーに [その他のオプション] ページが表示されない場合は、[その他のオプション] を選択します。
    2. 以下の手順に従って、セキュリティインシデントが作成されたときに相関イベントを更新するための構成を完了します。
      オプションまたはフィールド説明
      SIR インシデントの作成時に相関イベントを更新する ArcSight ESM の相関イベントステージを更新し、セキュリティインシデントが相関イベントから作成されたときに追加コメントでイベントを更新する場合は、このオプションを選択します。これは、新しいセキュリティインシデントを作成するか、既存のセキュリティインシデントを集計する相関イベントに対して発生する可能性があります。
      注:
      このオプションが選択されていない場合、セキュリティインシデントの作成時にイベントステージは更新されません。
      相関イベントステージの更新 ArcSight ESM サーバーから取得した利用可能なすべてのステージを表示する [相関イベントステージの更新] 選択リストからステージオプションを選択します。
      相関イベントステージが構成されていない場合ServiceNow AI Platform インスタンスで相関イベントステージを構成していない場合、[相関イベントステージの更新] 選択リストには [ステージのアサイン:初期設定] のみが表示されます。ステージを構成するには、次の手順を実行します。
      • [ステージリソース ID を入力 (Enter Stage Resource ID)] フィールドにリソース ID を入力し、[送信] をクリックします。リソース ID が ArcSight ESM コンソールで検証され、次の画面が表示されます。
        ArcSight ESM:ステージリソース ID
      • [保存] をクリックして新しいステージ ([監視]) を保存します。
      • [相関イベントステージを選択] ドロップダウンリストをクリックします。
        ArcSight ESM:イベントステージのリスト
      • 新しく作成されたステージをリストから選択できます。
      相関イベントステージが既に構成されている場合:相関イベントステージを既に構成している場合は、次の手順を実行します。
      • [相関イベントステージの更新] 選択リストで [以前にアサインされたステージを使用] を選択します。
      • 次に示すように、 [相関イベントステージを選択] 選択リストから既存のステージを選択します。
        ArcSight ESM:以前にアサインされたステージ
      • 相関イベントに投稿される最初のコメント:相関イベントステージ値の更新に加えて、相関ステージ注釈にコメントを投稿することもできます。説明したとおり、セキュリティインシデントレスポンスインシデントフォームの任意のフィールドでのフォーマット ${field name}$ を使用した置換変数の追加または変更など、[コメント] セクションに表示されるデフォルトテキストの編集を行うことができます。
      注:
      ArcSight ESM コンソールで定義されたデフォルトのステージを使用することも、独自のカスタムステージを作成することもできます。新規ステージを作成するには、次のステップに従います。
      • ArcSight ESMコンソールで、 ファイル > 新規 > ステージ. [検査/編集 (Inspect/Edit)] タブが表示されます。
      • 新しいステージを定義します。[ユーザーが必要 (User Required)] チェックボックスをオンにしないでください。ステージが正しく定義され、イベントライフサイクル内の正しい位置にあることを確認します。
    3. [相関イベントのクローズの自動化 (Automating Correlated Event Closure)] セクションでは、セキュリティインシデントがクローズされたときに更新する方法を定義できます。
    4. フォームのフィールドに入力します。
      オプションまたはフィールド説明
      SIR インシデントのクローズ時に相関イベントを更新する セキュリティインシデントが相関イベントからクローズされたときに相関イベントステータスを更新し、コメントを追加する場合は、このオプションを選択します。これは、セキュリティインシデントを作成する最初のトリガー注目イベントと集計イベントの両方で発生します。
      注:
      このオプションが選択されていない場合、セキュリティインシデントのクローズ時にイベントステージは更新されません。
      相関イベントステージの更新 ArcSight ESM サーバーから取得した利用可能なすべてのステージを表示するメニューからステージオプションを選択します。セキュリティインシデントをクローズするときにすべての相関イベントに設定されるステージ値を選択します。
      注:
      ここに表示されるステージは、[相関イベントの初期更新] セクションで構成されたステージに基づいています。
      相関イベントステージを選択 ここで適切な状況を選択します。
      クローズコメントが相関イベントに投稿されました 相関イベントステータス値の更新に加えて、相関イベント注釈にクローズコメントを投稿することもできます。説明したとおり、セキュリティインシデントレスポンスインシデントフォームの任意のフィールドでのフォーマット ${field name}$ を使用した置換変数の追加または変更など、[コメント] セクションに表示されるデフォルトテキストの編集を行うことができます。

      ArcSight ESM:クローズイベントステージ
    5. [完了] をクリックして、構成を完了します。
      確認ダイアログが表示されます。これで統合のセットアップと構成が正常に完了しました。このプロファイルをアクティブ化して、スケジューリングに基づいて ArcSight ESM コンソールから相関イベントをプルします。