Zusätzliche Optionen: Korrelierte Ereignisaktualisierungen und -Abschlüsse basierend auf automatisieren SIR Incident-Status
Die ArcSight ESM Die Integration verfügt über eine bidirektionale Schnittstelle, die es ermöglicht, sowohl Korrelationsereignisse Security Incidents zu erstellen, als auch die Möglichkeit, die Korrelationsereignisse zu aktualisieren, sobald der Security Incident erstellt und/oder geschlossen wurde, mit relevanten Incident-Details wie Security Incident-Nummer, Zuweisungsgruppe, SIR Incident-URL usw.
Vorbereitungen
Prozedur
-
Befolgen Sie die folgenden Anweisungen, um die Konfiguration für die Aktualisierung korrelierter Ereignisse abzuschließen, wenn der Security Incident erstellt wird.
Option oder Feld Beschreibung Korrelierte Ereignisse nach Erstellung des SIR-Incident aktualisieren Wählen Sie diese Option aus, wenn Sie die Phase des Korrelationsereignisses in aktualisieren möchten ArcSight ESM Und aktualisieren Sie das Ereignis mit zusätzlichen Kommentaren, wenn ein Security Incident aus dem Korrelationsereignis erstellt wird. Dies kann bei Korrelationsereignissen auftreten, die entweder einen neuen Security Incident erstellen oder vorhandene Security Incidents aggregieren könnten. Hinweis:Wenn diese Option nicht ausgewählt ist, wird die Ereignisphase beim Erstellen des Security Incidents nicht aktualisiert.Aktualisierung der korrelierten Ereignisphase Wählen Sie eine Phasenoption aus der Auswahlliste „Aktualisierung korrelierter Ereignisphasen“ aus, die alle verfügbaren Phasen anzeigt, die aus abgerufen wurden ArcSight ESM Server. Korrelierte Ereignisphase nicht konfiguriert : Wenn Sie keine korrelierten Ereignisphasen in konfiguriert haben ServiceNow AI Platform-Instanz wird nur angezeigt Phase Zuweisen: Ersteinrichtung In der Auswahlliste „Aktualisierung korrelierter Ereignisphasen“. Führen Sie die folgenden Schritte aus, um die Phase zu konfigurieren:- Geben Sie eine Ressourcen-ID in das Feld Phasenressourcen-ID eingeben ein, und klicken Sie auf Übermitteln . Die Ressourcen-ID wird in validiert ArcSight ESM Konsole und der folgende Bildschirm werden angezeigt.
- Klicken Sie Auf Speichern Zum Speichern der neuen Phase ( Überwachung ).
- Klicken Sie auf die Dropdown-Liste Korrelierte Ereignisphase auswählen.
- Sie können die neu erstellte Phase aus der Liste auswählen.
Korrelierte Ereignisphase ist bereits konfiguriert : Wenn Sie die korrelierte Ereignisphase bereits konfiguriert haben, führen Sie die folgenden Schritte aus:- Wählen Sie Aus Zuvor Zugewiesene Phase Verwenden In der Auswahlliste „Aktualisierung korrelierter Ereignisphasen“.
- Wählen Sie eine vorhandene Phase aus der Auswahlliste korreliertes Ereignis auswählen aus, wie unten gezeigt.
- Anfängliche Kommentare, die an korreliertes Ereignis zurückgesendet werden: Neben dem Aktualisieren des Phasenwerts des Korrelationsereignisses können Sie auch Kommentare zu den Anmerkungen der Korrelationsphase veröffentlichen. Wie in den Anweisungen angegeben, können Sie den Standardtext bearbeiten, der im Abschnitt „Kommentare“ angezeigt wird, einschließlich Hinzufügen oder Ändern der Ersetzungsvariablen im Format ${Feldname}$ für jedes Feld im Formular „Security Incident Response Incident“.
Hinweis:Sie können entweder die in definierten Standardphasen verwenden ArcSight ESM Konsole oder erstellen Sie eigene anwenderdefinierte Phasen. Führen Sie die folgenden Schritte aus, um eine neue Phase zu erstellen:- In ArcSight ESM Konsole, wählen Sie aus an. Die Registerkarte „Inspect/Edit“ wird angezeigt.
- Definieren Sie die neue Phase, und wählen Sie nicht aus Anwender Erforderlich Kontrollkästchen. Stellen Sie sicher, dass die Phase korrekt definiert ist und sich an der richtigen Position im Ereignislebenszyklus befindet.
- Geben Sie eine Ressourcen-ID in das Feld Phasenressourcen-ID eingeben ein, und klicken Sie auf Übermitteln . Die Ressourcen-ID wird in validiert ArcSight ESM Konsole und der folgende Bildschirm werden angezeigt.
-
Füllen Sie im Formular die Felder aus.
Option oder Feld Beschreibung Korrelierte Ereignisse nach Abschluss des SIR-Incident aktualisieren Wählen Sie diese Option aus, wenn Sie den Status des Korrelationsereignisses aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn ein Security Incident aus dem korrelierten Ereignis geschlossen wird. Dies geschieht sowohl für die anfänglich auslösenden wichtigen Ereignisse, die den Security Incident erstellen, als auch für zusammengefasste Ereignisse. Hinweis:Wenn diese Option nicht ausgewählt ist, wird die Ereignisphase nicht aktualisiert, wenn der Security Incident geschlossen wird.Aktualisierung der korrelierten Ereignisphase Wählen Sie im Menü eine Phasenoption aus, die alle verfügbaren Phasen anzeigt, die aus abgerufen wurden ArcSight ESM Server. Wählen Sie den Phasenwert aus, der für alle Korrelationsereignisse festgelegt werden soll, wenn ein Security Incident geschlossen werden soll. Hinweis:Die hier angezeigten Phasen basieren auf den Phasen, die im Abschnitt „anfängliche Aktualisierungen des Korrelationsereignisses“ konfiguriert sind.Korrelierte Ereignisphase auswählen Wählen Sie hier einen entsprechenden Status aus. Abschlusskommentare, die an das korrelierte Ereignis zurückgesendet wurden Neben der Aktualisierung des Statuswerts des Korrelationsereignisses können Sie Abschlusskommentare auch in den Korrelationsereignisanmerkungen veröffentlichen. Wie in den Anweisungen angegeben, können Sie den Standardtext bearbeiten, der im Abschnitt „Kommentare“ angezeigt wird, einschließlich Hinzufügen oder Ändern der Ersetzungsvariablen im Format ${Feldname}$ für jedes Feld im Formular „Security Incident Response Incident“.