Erstellen Sie Zuordnungen für ArcSight ESM Integration der Ereigniserfassung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 8 Minuten Lesedauer

    • In diesem Schritt erfassen Sie Beispielkorrelationsereignisse und ordnen den SIR Security Incident-Feldern Werte zu.

    Vorbereitungen

    Erforderliche Rolle: admin, sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Als Anwender mit der Rolle „sn_si.admin“ können Sie bis zu fünf Beispielkorrelationsereignisse aus der Spalte „Stichprobenerfassung für Korrelationsereignis“ auf der linken Seite des Formulars überprüfen, um die Zuordnung und Übersetzung von Ereignisfeldwerten zu den Security Incident-Feldern in der Spalte „SIR-Incident-Feldzuordnung“ auf der rechten Seite zu unterstützen.

    Erstellen Sie anwenderdefinierte Zuordnungen, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Standardmäßig angezeigte Felder sind normalerweise wichtige Felder, die im Antwortformular für Security Incidents ausgefüllt werden müssen. Diese Felder können jedoch entfernt werden, und zusätzliche Felder können mit den Schaltflächen + und - angezeigt werden. Erstellen Sie anwenderdefinierte Karten, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Durch das Anpassen der Felder können Sie zuordnen ArcSight ESM Felder, die nicht im Standardzuordnungsraster für den Security Incident angezeigt werden.

    Prozedur

    1. Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie auf Zuordnung Auf der Fortschrittsleiste.
    2. Sie können entweder die neuesten Beispielkorrelationsereignisse für die ausgewählte Korrelationsregel abrufen oder die eindeutigen Korrelationsereignis-IDs für die spezifischen Korrelationsereignisse angeben, die Sie für Ihre Experience der Korrelationsereigniszuordnung verwenden möchten.
    3. Wählen Sie in der Dropdown-Liste eine der folgenden Optionen aus:
      • Neueste Korrelationsereignisse abrufen
      • Korrelationsereignisse basierend auf Ereignis-ID auswählen

      Klicken Sie Auf Ereignisse Abrufen Um die neuesten Beispielkorrelationsereignisse aus abzurufen ArcSight ESM Konsole für die ausgewählte Korrelationssuchregel.

      Die Ergebnisse der Korrelationsereignisfelder und -Werte werden als einzelne Registerkarten angezeigt.

      Der Abruf für Beispielkorrelationsereignisse kann einige Minuten dauern. Eine Nachricht, die angibt, dass die Transaktion funktioniert, wird oben auf dem Bildschirm angezeigt.

      In der folgenden Abbildung werden die Feld-Name-Wert-Paare für das erfasste Korrelationsereignis oder die importierten Beispielereignisse auf der linken Seite dieses Formulars angezeigt, nachdem der Abruf der Erfassung abgeschlossen ist. Diese Werte sind die Werte, die Sie den Security Incident-Feldern auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zuordnen.


      ArcSight ESM: Profil erstellen: Ereignisse abrufen
    4. Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken Sie auf der linken Seite des Formulars auf einen blauen Feldnamen.
    5. Ziehen Sie den Feldnamen, z. B. Agent.Hostname , Und legen Sie es in einem Feld in der Spalte „Eingabeausdruck“ neben einem Feldnamen in der Spalte „Security Incident“ ab.

      Damit Sie sicherstellen können, dass im Zuordnungsprozess keine Ereignisfelder übersehen oder dupliziert werden, sind Felder farbcodiert. Hellblaue Felder auf der linken Seite zeigen an, dass ein Korrelationsereignisfeld noch nicht ausgewählt und dem Security Incident zugeordnet ist. Möglicherweise möchten Sie ein eingehendes Korrelationsfeld mit mehr als einem Feld in einem Security Incident verknüpfen.

      Ein graues Feld gibt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Mit dieser Farbcodierung können Sie nachverfolgen, welche Ereignisfelder bereits für zukünftige Security Incident-Feldzuordnungen verwendet wurden.


      ArcSight ESM: Profil erstellen: Ziehen
    6. Führen Sie die folgenden Schritte aus, um den Standardfeldern, die im Security Incident auf der rechten Seite des Formulars angezeigt werden, Felder hinzuzufügen.
      1. Klicken Sie auf der rechten Seite des Formulars im Abschnitt „SIR-Incident-Feldzuordnung“ unten im Raster auf das Plus-Symbol.
        Ein neues Feld wird angezeigt.
      2. Erweitern Sie in der Spalte Security Incident die angezeigte Auswahlliste, und wählen Sie ein Feld aus.

        In der erweiterten Auswahlliste für das neue Feld sind einige Felder schattiert. In der folgenden Abbildung: Betroffener Anwender Hat einen grauen Hintergrund, da er im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für die Korrelationsereignisfelder auf der linken Seite des Formulars hilft diese Farbcodierung für die Security Incident-Felder auf der rechten Seite Ihnen, die bereits zugeordneten SIR-Incident-Felder nachzuverfolgen.


        ArcSight ESM: Profil erstellen:graue Felder
        Hinweis:
        Damit mehrere erkennbare Elemente für denselben Security Incident angezeigt werden können Erkennbares Element Das Feld kann mehrmals verschiedenen Werten zugeordnet werden. Ebenso wird Konfigurationselement Und Arbeitsnotizen Felder unterstützen mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des Incident eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Auswahlliste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Auswahlliste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
      3. Alternativ können Sie einen Wert in das Suchfeld für die neue Zeile eingeben.
      4. Klicken Sie auf der linken Seite des Formulars mit der linken Maustaste, um auszuwählen Ereignis-ID Die Sie in wünschen Eingabeausdruck Feld.
        Ordnen Sie sie mit der Drag-and-Drop-Funktion neben Ihrem neuen Feld zu.
    7. Wahlweise: Öffnen Sie den Skripteditor, und fahren Sie mit der Bearbeitung fort.

      Weitere Informationen zum Skript-Editor finden Sie unter Verwenden Sie den Skript-Editor, um Korrelationsereigniswerte zu formatieren.Filterbedingungen für die Incident-Generierung

    8. Wahlweise: Nachdem Sie die vorherigen Feldzuordnungsschritte abgeschlossen haben, können Sie dieselben Feldwerte im Generator für Incident-Generierungsbedingungen verwenden, um zusätzliche Kriterien zu definieren, die ein eingehendes Korrelationsereignis erfüllen muss, um einen zu erstellen SIR Security Incident.
      Um Bedingungen für die Incident-Generierung festzulegen, gehen Sie wie folgt vor.
      1. Scrollen Sie im Formular zum Abschnitt Bedingungen für die Incident-Generierung, und wählen Sie aus Filtern Sie basierend auf Bedingungen Kontrollkästchen zum Aktivieren der Option.

        Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den spezifischen Bedingungen entsprechen, die in den Feldern beschrieben werden.

        Die Optionen in den Auswahllisten für das erste Feld im Generator für Filterbedingungen entsprechen den Feldern, die im Abschnitt „Beispielerfassung für Korrelationsereignis“ für die von Ihnen erfassten Ereignisse angezeigt werden. Diese Felder sind dynamisch und ändern sich je nach Korrelationsereignissen, die Sie erfassen. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden und müssen genau mit den Werten von übereinstimmen ArcSight ESM Korrelationsereignis.

        Legen Sie mithilfe der Auswahllisten und Felder des Bedingungsgenerators Filter für die erste Zeile fest.

      2. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf UND Oder ODER .
        Wenn UND Ist ausgewählt, müssen alle Bedingungen erfüllt sein. Wenn ODER Ist ausgewählt, kann eine der Bedingungen erfüllt werden.
      3. Wahlweise: Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest.

        Die folgende Abbildung zeigt ein Beispiel mit zwei Bedingungen, die erfüllt werden müssen, bevor Security Incidents erstellt werden.


        ArcSight ESM: Profil erstellen: Filter mit übereinstimmenden Bedingungen

        Sie haben die Bedingungen für die Incident-Generierung so festgelegt, dass Security Incidents nur erstellt werden, wenn beide von Ihnen eingegebenen Filterbedingungen erfüllt sind.

        Diese Art der Bedingungsfilterung für die Incident-Generierung hilft Ihnen, die Sicherheitsereignisse einzugrenzen und die Anzahl der unnötigen Security Incidents zu begrenzen, die Sie erstellen, ohne die zugrunde liegende Korrelationssuche zu ändern oder Ereignisse in herauszufiltern ArcSight ESM. Wenn zusätzliche Filterkriterien festgelegt sind, werden Incidents nur Korrelationsereignisse zugeordnet, die allen Kriterien entsprechen.

        Hinweis:
        Wenn einer der Ereignisfeldnamen Sonderzeichen wie Anführungszeichen (“), Bindestriche (‘), Unterstriche (-) oder ampersands (@) enthält, müssen diese Zeichen möglicherweise zu Übersetzungszwecken ersetzt werden und möglicherweise einen doppelten Ereignisnamen erstellen. Die Zuordnung kann entsprechend erfolgen, es wird jedoch ein numerisches Suffix angehängt, um Felder mit doppelten Ereignisnamen zu unterscheiden. Beispiel: Wenn das erste Ereignisfeld lautet Ereignisse.Ereignis Und das zweite Ereignisfeld ist Ereignisse.Ereignis , Diese Felder können nicht eindeutig identifiziert werden, da die verbleibenden Standardtextzeichen identisch sind. In diesem Fall wird dem zweiten Ereignisfeld ein Suffix hinzugefügt, und das Feld wird in umbenannt Ereignisse@Ereignis(1) .
      Kriterien für Ereigniszusammenfassung zur Behandlung ähnlicher Korrelationsereignisse und zur Verhinderung doppelter Incidents
    9. Wahlweise: Um die Erstellung doppelter Security Incidents zu vermeiden, definieren Sie zusätzliche Ereigniszusammenfassungskriterien, damit eingehende Korrelationsereignisse zu einem offenen Security Incident zusammengefasst werden.
      Um die Kriterien festzulegen, führen Sie die folgenden Schritte aus:
      1. Scrollen Sie zu Kriterien Für Ereigniszusammenfassung Abschnitt im Formular, und aktivieren Sie das Kontrollkästchen Zusammenfassungsbedingungen, um diese Option zu aktivieren.

        Die Spalten „Incident-Feld-Übereinstimmungswerte“ werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle anwenderdefinierten Felder enthalten, die in konfiguriert sind SIR Security Incident.

      2. Wählen Sie in der Liste verfügbar die Feldwerte aus, die Sie für vorhandene Security Incidents in abgleichen möchten ServiceNow AI Platform Und verschieben Sie sie in die Liste ausgewählt.

        Alle von Ihnen ausgewählten Feldwerte müssen abgeglichen werden, um dieses eingehende Korrelationsereignis an einen vorhandenen Security Incident anzuhängen. Dies umfasst Felder, z. B. erkennbare Elemente und Konfigurationselemente, denen möglicherweise mehrere Korrelationsereignisfeldwerte zugeordnet sind. Alle Werte müssen übereinstimmen. Wenn nur eine Teilmenge der Werte übereinstimmt, werden die Bedingungen für die Ereigniszusammenfassung nicht erfüllt, und ein neuer Security Incident wird erstellt. Siehe Screenshot unten für die Feldzuordnung mit mehreren Werten.


        ArcSight ESM: Profil erstellen: Aggregat
        Wenn ein neues Korrelationsereignis allen Werten entspricht, die im Zuordnungsschritt in den Bedingungen des Zusammenfassungsfelds ausgewählt sind, wird das neue Korrelationsereignis automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als SOC-Analyst, der mit Security Incidents arbeitet, können Sie alle hinzugefügten aggregierten Korrelationsereignisse in einer zugehörigen Liste zu einem Security Incident anzeigen. Alle zusammengefassten Korrelationsereignisse für einen Security Incident werden im angezeigt Zusammengefasste ArcSight-Ereignisse Zugehörige Liste. Diese Liste enthält Details zu zugehörigen Zeitstempeln und zusammengefassten Feldwerten. Diese Informationen helfen Ihnen zu verstehen, warum diese Korrelationsereignisse zu vorhandenen Security Incidents aggregiert werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie unter zur linken Seite des Datensatzes Zugehörige Links Und klicken Sie auf Alle Zugehörigen Listen Anzeigen Link.
        Hinweis:
        Wenn diese zugehörige Liste nicht angezeigt wird, führen Sie die folgenden Schritte aus:
        • Klicken Sie mit der rechten Maustaste auf den Header des Security Incident-Formulars, und klicken Sie auf Konfigurieren > Zugehörige Listenan.
        • Wählen Sie Aus Zusammengefasste ArcSight-Ereignisse Verschieben Sie sie in der Liste verfügbar in die Liste ausgewählt, und klicken Sie auf Speichern .
        • Klicken Sie Auf Zugehörige Listen Anzeigen . Sie sehen jetzt Zusammengefasste ArcSight-Ereignisse Registerkarte im Abschnitt zugehörige Liste.

        ArcSight ESM: Aggregierte Ereignisse
      3. Wahlweise: Um eine Arbeitsnotiz für jedes Mal zu protokollieren, wenn ein Ereignis für den Security Incident aggregiert wird, aktivieren Sie das Kontrollkästchen, um diese Option zu aktivieren.
        In der Arbeitsnotiz wird protokolliert, dass ein neues korreliertes Ereignis zusammen mit einem Link zu den korrelierten Ereignisdetails hinzugefügt wurde.
      Sie haben Werte aus einem Korrelationsereignis erfolgreich zu Feldern in einem zugeordnet SIR Security Incident. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien für die Incident-Generierung einzuschränken. Sie haben auch Korrelationsereignisse zu vorhandenen aggregiert SIR Security Incidents, wenn die Ereignisfeldwerte den konfigurierten Zusammenfassungskriterien entsprechen.
    10. Wählen Sie eine Option aus, um mit der Profilkonfiguration fortzufahren.
      OptionBeschreibung
         
      Fortsetzen Das Formular „Zuordnung“ wird angezeigt.

      Vorschau Ist im Fortschrittsbalken ausgewählt. Der nächste Schritt besteht darin, eine Vorschau der Felder anzuzeigen, die Sie einem zugeordnet haben SIR Security Incident.
      Aktualisieren Ihre Daten und werden gespeichert ArcSight ESM Die Liste „Ereignisprofile“ wird angezeigt.
      Zurück Das Formular „Korrelationsereignisauswahl“ wird angezeigt.
      Löschen Löschen Sie dieses Ereignisprofil, und die Liste „Ereignisprofile“ wird angezeigt.