Campos de evento de correlação de mapeamento para ArcSight ESM integração de ingestão de evento
Depois de identificar a regra de evento de correlação específica na lista, a próxima etapa é mapear os campos de evento de correlação para os campos no formulário de incidente de segurança.
Visão geral dos campos de evento de correlação de mapeamento
Para a etapa de mapeamento, você pode ingerir eventos de correlação de amostra para a regra de correlação selecionada. Durante esta fase de mapeamento, você pode garantir que todos os dados de campo de evento de correlação relevantes sejam mapeados para o local apropriado no SIR formulário de incidente e visualize o. SIR incidente na seção de visualização.
Ao clicar em Recuperar eventos , os nomes dos campos do evento de correlação e os valores correspondentes são preenchidos no lado esquerdo do formulário. . ArcSight ESM campos de evento de correlação que estão disponíveis para mapear para os campos de incidente de segurança.
Você pode preferir revisar alguns eventos de correlação de amostra em seu console para ingerir a etapa de configuração de mapeamento de campo. Esta etapa é rotulada Mapeamento na barra de andamento. Se esta página não for exibida, clique em Mapeamento na barra de andamento. Você pode ingerir até cinco eventos de correlação de amostra do ArcSight ESM Gerente da regra de correlação selecionada para ajudar no processo de mapeamento de campo. Há opções para ingerir os cinco eventos de correlação mais recentes para o evento de correlação selecionado ou ingerir até cinco eventos de correlação específicos com base nos IDs de evento.
- Mapeamento de campo: Edite a configuração de mapeamento arrastando os campos de evento de correlação do lado esquerdo e soltando-os no SIR seção de mapeamento de incidentes à direita. O mapeamento à direita associa o campo Evento de correlação de entrada a um campo de incidente de segurança de saída.
- Experiência de mapeamento: Personalize a grade de mapeamento adicionando ou removendo campos usando o ícone de adição na parte inferior da seção de mapeamento de campo de incidente SIR. Rastreie campos ignorados ou mapeados anteriormente com a codificação de cores fornecida (os campos mapeados ficam esmaecidos, os campos azuis não estão mapeados).
- Condições de geração de incidente: Depois que a seção de mapeamento estiver concluída, você poderá definir condições de filtro para filtrar quais eventos de correlação devem criar incidentes de segurança versus eventos de correlação que devem ser filtrados, por exemplo, eventos de correlação de baixa prioridade. Isso é feito na seção Condições de geração de incidentes localizada abaixo da seção Ingestão de amostra de evento de correlação.
- Critérios de agregação de evento: Defina critérios de agregação de evento adicionais que agreguem um evento de correlação de entrada a um existente SIR incidente de segurança em vez de criar incidentes semelhantes e potencialmente duplicados. Usando critérios de valor de correspondência de campo para cada perfil, esse recurso de agregação adicional pode reduzir o número de incidentes de segurança ativos sobrepostos, colocando todos os dados de eventos notáveis de segurança relacionados em um único incidente de segurança.
- Tradução de campo de formato: Em determinados casos, valores de campo de evento no ArcSight ESM o evento de correlação pode não ser traduzido diretamente para os campos no SIR incidente de segurança. Para esses valores, você pode usar um editor de scripts para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. Use o editor de scripts se quiser formatar valores semelhantes, mas não idênticos.
Por exemplo, com o editor de script, um valor de categoria Alerta de malware e infecção por vírus pode ter valores de campo diferentes para a categoria de origem, mas ambos os valores podem ser traduzidos em uma Atividade de código mal-intencionado comum no campo Categoria no SIR Incidente de segurança usando a funcionalidade Formatar tradução de campo.
A próxima etapa é ingerir eventos de correlação de amostra e mapear valores para SIR campos de incidente de segurança.