이벤트 수집 통합을 위한 ArcSight ESM 매핑 상관 관계 이벤트 필드
목록에서 특정 상관관계 이벤트 규칙을 식별한 후 다음 단계는 상관관계 이벤트 필드를 보안 인시던트 양식의 필드에 매핑하는 것입니다.
개요
매핑 단계에서는 선택한 상관관계 규칙에 대한 샘플 상관관계 이벤트를 수집할 수 있습니다. 이 매핑 단계에서 모든 관련 상관관계 이벤트 필드 데이터가 인시던트 양식의 SIR 적절한 위치에 매핑되는지 확인한 다음 미리 보기 섹션에서 인시던트를 시각화할 SIR 수 있습니다.
이벤트 검색을 클릭하면 상관관계 이벤트 필드 이름과 해당 값이 양식 왼쪽에 채워집니다. 보안 인시던트 ArcSight ESM 필드에 매핑할 수 있는 상관관계 이벤트 필드입니다.
콘솔에서 몇 가지 샘플 상관관계 이벤트를 검토하여 필드 매핑 구성 단계에서 수집할 수 있습니다. 이 단계는 진행률 표시줄에 매핑이라는 레이블이 지정됩니다. 이 페이지가 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다. 필드 매핑 프로세스를 지원하기 위해 선택한 상관관계 규칙에 대해 Manager에서 ArcSight ESM 최대 5개의 샘플 상관관계 이벤트를 수집할 수 있습니다. 선택한 상관관계 이벤트에 대해 가장 최근의 상관관계 이벤트 5개를 수집하거나 이벤트 ID를 기반으로 특정 상관관계 이벤트를 최대 5개까지 수집할 수 있는 옵션이 있습니다.
- 필드 매핑: 상관관계 이벤트 필드를 왼쪽에서 끌어서 오른쪽의 인시던트 매핑 섹션에 놓 SIR 아 매핑 구성을 편집합니다. 오른쪽의 매핑은 수신 상관관계 이벤트 필드와 발신 보안 인시던트 필드를 연결합니다.
- 매핑 환경: SIR 인시던트 필드 매핑 섹션 하단에 있는 + 아이콘을 사용하여 필드를 추가하거나 제거하여 매핑 그리드를 사용자 지정합니다. 제공된 색상 코딩을 사용하여 간과되거나 이전에 매핑된 필드를 추적합니다(매핑된 필드는 회색으로 표시, 파란색 필드는 매핑되지 않음).
- 인시던트 생성 조건: 매핑 섹션이 완료되면 필터 조건을 정의하여 보안 인시던트를 생성해야 하는 상관관계 이벤트와 필터링해야 하는 상관관계 이벤트(예: 우선순위가 낮은 상관관계 이벤트)를 필터링할 수 있습니다. 이 작업은 상관관계 이벤트 샘플 수집 섹션 아래에 있는 인시던트 생성 조건 섹션에서 수행됩니다.
- 이벤트 집계 기준: 유사하고 중복될 가능성이 있는 인시던트를 작성하는 대신 들어오는 상관관계 이벤트를 기존 SIR 보안 인시던트로 집계하는 추가 이벤트 집계 기준을 정의합니다. 각 프로파일에 대해 필드 일치 값 기준을 사용하는 이 추가 집계 기능은 모든 관련 보안 중요 이벤트 데이터를 단일 보안 인시던트에 배치하여 중복되는 활성 보안 인시던트 수를 줄일 수 있습니다.
- 형식 필드 변환: 경우에 따라 상관 관계 이벤트의 ArcSight ESM 이벤트 필드 값이 보안 인시던트의 필드 SIR 로 직접 변환되지 않을 수 있습니다. 이러한 값의 경우, 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값을 포맷할 수 있습니다. 스크립트 편집기는 비슷하지만 동일하지 않은 값의 서식을 지정하려면 스크립트 편집기를 사용합니다.
예를 들어 스크립트 편집기에서 맬웨어 경보 및 바이러스 감염의 범주 값은 소스 범주에 대해 서로 다른 필드 값을 가질 수 있지만, 필드 변환 형식 기능을 사용하여 두 값 모두 보안 인시던트의 범주 필드 SIR 에서 공통 악성 코드 활동으로 변환될 수 있습니다.
다음 단계는 샘플 상관관계 이벤트를 수집하고 값을 SIR 보안 인시던트 필드에 매핑하는 것입니다.