Opções adicionais: Automatizar atualizações de eventos correlacionados e fechamento com base em SIR status do incidente

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 4 min. de leitura

    • . ArcSight ESM a integração tem uma interface bidirecional que permite que eventos de correlação criem incidentes de segurança, bem como a capacidade de atualizar os eventos de correlação depois que o incidente de segurança é criado e/ou encerrado com detalhes relevantes do incidente, como número do incidente de segurança, grupo de atribuição, SIR URL do incidente e assim por diante.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Se a página Opções adicionais na barra de andamento não for exibida, selecione Opções adicionais .
    2. Siga as instruções abaixo para concluir a configuração para atualizar eventos correlacionados quando o incidente de segurança for criado.
      Opção ou CampoDescrição
      Atualize eventos correlacionados após a criação de incidentes SIR Selecione esta opção se quiser atualizar a fase do evento de correlação em ArcSight ESM e atualizam o evento com comentários adicionais quando um incidente de segurança é criado a partir do evento de correlação. Isso pode ocorrer para eventos de correlação que podem criar um novo incidente de segurança, bem como agregar incidentes de segurança existentes.
      Nota:
      Se esta opção não estiver selecionada, a fase do evento não será atualizada quando o incidente de segurança for criado.
      Atualização da fase do evento correlacionado Selecione uma opção de fase na lista de seleção Atualização de fase de evento correlacionado que exibe todas as fases disponíveis recuperadas do ArcSight ESM servidor.
      Fase de evento correlacionado não configurada Se você não configurou nenhuma fase de evento correlacionada em seu ServiceNow AI Platform, você verá somente o. Atribuir fase - Configuração inicial Na lista de seleção Atualização da fase do evento correlacionado. Para configurar a fase, siga estas etapas:
      • Insira um ID de recurso no campo Inserir ID de recurso de fase e clique em Enviar . O ID do recurso é validado no ArcSight ESM e a tela a seguir são exibidos.
        ArcSight ESM: ID do recurso da fase
      • Clique em Salvar para salvar a nova fase ( Monitoramento ).
      • Clique na lista suspensa Selecionar fase de evento correlacionado.
        ArcSight ESM: Lista de fases do evento
      • Você pode selecionar a fase recém-criada na lista.
      Fase de evento correlacionado já configurada : Se você já configurou a fase de evento correlacionado, siga estas etapas:
      • Selecione Usar fase atribuída anteriormente Na lista de seleção Atualização da fase do evento correlacionado.
      • Selecione uma fase existente na lista de seleção Selecionar fase de evento correlacionado, conforme mostrado abaixo.
        ArcSight ESM: Fase atribuída anteriormente
      • Comentários iniciais publicados novamente no evento correlacionado: Além de atualizar o valor da fase do evento de correlação, você também pode publicar comentários nas anotações da fase de correlação. Conforme indicado nas instruções, você pode editar o texto padrão exibido na seção de comentários, incluindo adicionar ou modificar as variáveis de substituição usando o formato⁠"nome do campo" para qualquer campo no formulário de incidente de Resposta a incidentes de segurança.
      Nota:
      Você pode usar as fases padrão definidas em ArcSight ESM console ou crie suas próprias fases personalizadas. Para criar uma nova fase, siga estas etapas:
      • Em ArcSight ESM console, selecione Arquivo > Novo(a) > Fase. A guia Inspecionar/Editar é exibida.
      • Defina a nova fase e não selecione Usuário obrigatório caixa de seleção. Certifique-se de que a fase esteja definida corretamente e na posição correta no ciclo de vida do evento.
    3. Na seção Automatizando fechamento de evento correlacionado, você pode definir como atualizar o incidente de segurança quando ele for encerrado.
    4. No formulário, preencha os campos.
      Opção ou CampoDescrição
      Atualize eventos correlacionados após o fechamento do incidente SIR Selecione esta opção se quiser atualizar o status do evento de correlação e adicionar comentários adicionais quando um incidente de segurança for encerrado a partir do evento correlacionado. Isso ocorrerá para os eventos notáveis de gatilho iniciais que criam o incidente de segurança, bem como eventos agregados.
      Nota:
      Se esta opção não estiver selecionada, a fase do evento não será atualizada quando o incidente de segurança for encerrado.
      Atualização da fase do evento correlacionado Selecione uma opção de fase no menu que exibe todas as fases disponíveis recuperadas do ArcSight ESM servidor. Selecione o valor da fase a ser definido para todos os eventos de correlação quando um incidente de segurança for encerrado.
      Nota:
      As fases exibidas aqui são baseadas nas fases configuradas na seção Atualizações iniciais do evento de correlação.
      Selecionar fase do evento correlacionado Selecione um status apropriado aqui.
      Comentários de fechamento publicados novamente no evento correlacionado Além de atualizar o valor do status do evento de correlação, você também pode publicar comentários de fechamento nas anotações do evento de correlação. Conforme indicado nas instruções, você pode editar o texto padrão exibido na seção de comentários, incluindo adicionar ou modificar as variáveis de substituição usando o formato⁠"nome do campo" para qualquer campo no formulário de incidente de Resposta a incidentes de segurança.

      ArcSight ESM: Fase do evento de fechamento
    5. Clique em Concluir para concluir a configuração.
      Uma caixa de diálogo de confirmação é exibida. Você concluiu com sucesso a instalação e a configuração da integração. Ative este perfil para extrair eventos de correlação do ArcSight ESM console baseado em sua programação.