Opções adicionais: automatizar atualizações e fechamento de eventos correlacionados com base no status do incidente SIR

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • A integração ArcSight ESM tem uma interface bidirecional que permite que ambos os eventos de correlação criem incidentes de segurança, bem como a capacidade de atualizar os eventos de correlação depois que o incidente de segurança é criado e/ou encerrado com detalhes relevantes do incidente, como o número do incidente de segurança , grupo de atribuição, SIR URL de incidente e assim por diante.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Se a página Opções adicionais na barra de andamento não for exibida, selecione Opções adicionais.
    2. Siga as instruções abaixo para concluir a configuração para atualizar eventos correlacionados quando o incidente de segurança for criado.
      Opção ou campoDescrição
      Atualizar eventos correlacionados após a criação do incidente SIR Selecione esta opção se quiser atualizar a fase do evento de correlação em ArcSight ESM e atualizar o evento com comentários adicionais quando um incidente de segurança for criado a partir do evento de correlação. Isso pode ocorrer para eventos de correlação que podem criar um novo incidente de segurança, bem como agregar incidentes de segurança existentes.
      Nota:
      Se esta opção não estiver selecionada, a fase do evento não será atualizada quando o incidente de segurança for criado.
      Atualização da fase do evento correlacionado Selecione uma opção de fase na lista de seleção Atualização de fases de eventos correlacionados que exibe todas as fases disponíveis recuperadas do servidor ArcSight ESM.
      Fase de eventos correlacionados não configurada: se você não configurou nenhuma fase de eventos correlacionados em sua instância Now Platform, você verá somente Atribuir fase - Configuração inicial na lista de seleção Atualização de fase de eventos correlacionados. Para configurar a fase, siga estas etapas:
      • Insira um ID de recurso no campo Inserir ID de recurso da fase e clique em Enviar. O ID do recurso é validado no console ArcSight ESM e a tela a seguir é exibida.
        ArcSight ESM: ID do recurso de fase
      • Clique em Salvar para salvar a nova fase (Monitoramento).
      • Clique na lista suspensa Selecionar fase de evento correlacionado.
        ArcSight ESM: lista de fases do evento
      • Você pode selecionar a fase recém-criada na lista.
      Fase de eventos correlacionados já configurada: se você já configurou a fase de eventos correlacionados, siga estas etapas:
      • Selecione Usar fase atribuída anteriormente na lista de seleção Atualização de fase de eventos correlacionados.
      • Selecione uma fase existente na lista de seleção Selecionar fase de evento correlacionada, conforme mostrado abaixo.
        ArcSight ESM: fase atribuída anteriormente
      • Comentários iniciais retornados para o evento correlacionado: além de atualizar o valor da fase do evento de correlação, você também pode publicar comentários nas anotações da fase de correlação. Conforme indicado nas instruções, você pode editar o texto padrão exibido na seção de comentários, incluindo adicionar ou modificar as variáveis de substituição usando o formato $⁠{field name}$ para qualquer campo no formulário de incidente do Security Incident Response.
      Nota:
      Você pode usar as fases padrão definidas no console ArcSight ESM ou criar suas próprias fases personalizadas. Para criar uma nova fase, siga estas etapas:
      • No console ArcSight ESM, selecione Arquivo > Novo > Fase. A guia Inspecionar/editar é exibida.
      • Defina a nova fase e não marque a caixa de seleção Usuário obrigatório. Certifique-se de que a fase esteja definida corretamente e na posição correta no ciclo de vida do evento.
    3. Na seção Automatização do fechamento de eventos correlacionados, você pode definir como atualizar o incidente de segurança quando ele for fechado.
    4. No formulário, preencha os campos.
      Opção ou campoDescrição
      Atualizar eventos correlacionados após o fechamento do incidente SIR Selecione esta opção se quiser atualizar o status do evento de correlação e adicionar comentários adicionais quando um incidente de segurança for encerrado a partir do evento correlacionado. Isso ocorrerá para os eventos notáveis de acionamento inicial que criam o incidente de segurança, bem como para os eventos agregados.
      Nota:
      Se esta opção não estiver selecionada, a fase do evento não será atualizada quando o incidente de segurança for encerrado.
      Atualização da fase do evento correlacionado Selecione uma opção de fase no menu que exibe todas as fases disponíveis recuperadas do servidor ArcSight ESM. Selecione o valor de fase a ser definido para todos os eventos de correlação quando um incidente de segurança for encerrado.
      Nota:
      As fases exibidas aqui são baseadas nas fases configuradas na seção Atualizações iniciais do evento de correlação.
      Selecionar fase de evento correlacionado Selecione um status apropriado aqui.
      Comentários de fechamento retornados para o evento correlacionado Além de atualizar o valor do status do evento de correlação, você também pode publicar comentários de fechamento nas anotações do evento de correlação. Conforme indicado nas instruções, você pode editar o texto padrão exibido na seção de comentários, incluindo adicionar ou modificar as variáveis de substituição usando o formato $⁠{field name}$ para qualquer campo no formulário de incidente do Security Incident Response.

      ArcSight ESM: fase do evento de fechamento
    5. Clique em Concluir para concluir a configuração.
      Uma caixa de diálogo de confirmação é exibida. Você concluiu com sucesso a instalação e a configuração da integração. Ative este perfil para extrair eventos de correlação do console ArcSight ESM com base em sua programação.