Criar mapeamentos para ArcSight ESM integração de ingestão de evento

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 10 min. de leitura

    • Nesta etapa, você ingira eventos de correlação de amostra e mapeia valores para os campos de incidente de segurança SIR.

    Antes de Iniciar

    Função necessária: admin, sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Como um usuário com a função sn_si.admin, você pode revisar até cinco eventos de correlação de amostra na coluna Ingestão de amostra de evento de correlação à esquerda do formulário para ajudar no mapeamento e na tradução dos valores do campo de evento para os campos de incidente de segurança na coluna Mapeamento de campo de incidente SIR à direita.

    Crie mapeamentos personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. Os campos exibidos por padrão geralmente são campos importantes a serem preenchidos no formulário de resposta a incidentes de segurança. Esses campos podem ser removidos e todos os campos adicionais podem ser exibidos usando os botões mais e -. Crie mapas personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. Personalizar os campos permite mapear ArcSight ESM campos que não são exibidos na grade de mapeamento padrão no incidente de segurança.

    Procedimento

    1. Se o formulário de mapeamento não for exibido, clique em Mapeamento na barra de andamento.
    2. Você pode extrair os eventos de correlação de amostra mais recentes para a regra de correlação selecionada ou fornecer os IDs de evento de correlação exclusivos para os eventos de correlação específicos que você deseja usar para sua experiência de mapeamento de evento de correlação.
    3. Na lista suspensa, selecione uma das seguintes opções:
      • Recuperar os eventos de correlação mais recentes
      • Selecione eventos de correlação com base no ID do evento

      Clique em Recuperar eventos para extrair os eventos de correlação de amostra mais recentes do ArcSight ESM console para a regra de pesquisa de correlação selecionada.

      Os campos de evento de correlação e resultados de valores são exibidos como guias individuais.

      A extração de eventos de correlação de amostra pode levar alguns minutos. Uma mensagem indicando que a transação está funcionando é exibida na parte superior da tela.

      Na figura a seguir, os pares de valor de nome de campo para o evento de correlação ingerido ou os eventos de amostra importados são exibidos no lado esquerdo deste formulário depois que a extração de ingestão é concluída. Esses valores são os valores que você mapeia para os campos de incidente de segurança no lado Mapeamento de campo de incidente SIR do formulário.


      ArcSight ESM: Criar perfil: Recuperar eventos
    4. Para mapear um valor de campo do lado esquerdo do formulário para um campo no incidente de segurança no lado direito do formulário, clique e segure um nome de campo azul no lado esquerdo do formulário.
    5. Arraste o nome do campo, por exemplo, agent.hostname E solte-o em um campo na coluna Expressão de entrada ao lado de um nome de campo na coluna Incidente de segurança.

      Para ajudar você a garantir que nenhum campo de evento seja ignorado ou duplicado no processo de mapeamento, os campos são codificados por cores. Campos azuis claros à esquerda indicam que um campo de evento de correlação ainda não foi selecionado e mapeado no incidente de segurança. Você pode preferir associar um campo de correlação de entrada a mais de um campo em um incidente de segurança.

      Um campo cinza indica que um campo foi selecionado e mapeado para um campo no incidente de segurança. Esta codificação por cores ajuda a rastrear quais campos de evento já foram utilizados para mapeamentos de campo de incidente de segurança futuros.


      ArcSight ESM: Criar perfil: Arraste
    6. Para adicionar campos aos campos padrão exibidos no incidente de segurança no lado direito do formulário, siga estas etapas.
      1. À direita do formulário na seção Mapeamento de campo de incidente SIR, na parte inferior da grade, clique no ícone de adição.
        Um novo campo é exibido.
      2. Na coluna Incidente de segurança, expanda a lista de seleção exibida e selecione um campo.

        Na lista de seleção expandida do novo campo, alguns campos são sombreados. Na figura a seguir, Usuário afetado tem um fundo cinza, porque foi mapeado no incidente de segurança. Semelhante à codificação por cores dos campos de eventos de correlação no lado esquerdo do formulário, essa codificação por cores para os campos de incidente de segurança à direita ajuda a rastrear os campos de incidente DE SIR já mapeados.


        ArcSight ESM: Criar perfil: Campos cinza
        Nota:
        Para que vários observáveis possam ser exibidos no mesmo incidente de segurança, o. Observável o campo pode ser mapeado várias vezes com valores diferentes. Da mesma forma, o Item de configuração e. Anotações de trabalho os campos são compatíveis com vários valores. Se você tentar mapear dois valores para um campo que não pode oferecer suporte a vários valores, ao visualizar o incidente, uma mensagem de erro será exibida informando que não há valor para o campo. Da mesma forma, se um campo em um incidente de segurança tiver uma lista de seleção da qual você pode escolher várias opções e tentar mapear uma opção para esse campo que não seja exibida na lista de seleção, o campo não será preenchido no incidente de segurança.
      3. Como alternativa, digite um valor no campo Pesquisar para a nova linha.
      4. No lado esquerdo do formulário, clique com o botão esquerdo do mouse para selecionar ID do evento que você deseja no Expressão de entrada campo.
        Com o recurso de arrastar e soltar, mapeie-o ao lado do novo campo.
    7. Opcional: Abra o editor de script e continue editando.

      Para obter mais informações sobre o editor de scripts, consulte Use o editor de scripts para formatar valores de evento de correlação.Condições de filtragem de geração de incidentes

    8. Opcional: Depois de concluir as etapas de mapeamento de campo anteriores, você pode usar os mesmos valores de campo no construtor Condições de geração de incidentes para definir critérios adicionais que um evento de correlação de entrada deve atender para criar um SIR incidente de segurança.
      Para definir condições de geração de incidentes, siga estas etapas.
      1. Role até a seção Condições de geração de incidentes no formulário e selecione Filtro com base em condições marque a caixa para habilitar a opção.

        O construtor Condições de filtro é exibido. Use esses filtros para criar incidentes de segurança que correspondam às condições específicas descritas pelos campos.

        As opções nas listas de seleção do primeiro campo no construtor Condições de filtro correspondem aos campos exibidos na seção Ingestão de amostra de evento de correlação para os eventos que você ingeriu. Esses campos são dinâmicos e mudam dependendo dos eventos de correlação que você ingerir. Os critérios inseridos diferenciam maiúsculas de minúsculas e devem corresponder exatamente aos valores de ArcSight ESM evento de correlação.

        Usando as listas de seleção e os campos do construtor de condições, defina filtros para a primeira linha.

      2. Para adicionar mais condições, à direita dos campos, clique em E. ou OU .
        Se E. selecionado, todas as condições devem ser correspondidas. Se OU está selecionado, qualquer condição pode ser correspondida.
      3. Opcional: Na segunda linha, defina uma segunda condição de filtro.

        A imagem a seguir é um exemplo com duas condições que devem ser correspondidas antes que os incidentes de segurança sejam criados.


        ArcSight ESM: Criar perfil: Filtro com condições correspondentes

        Você definiu as condições de geração de incidentes para que os incidentes de segurança sejam criados somente quando as duas condições de filtragem inseridas forem correspondidas.

        Este tipo de filtragem de condição de geração de incidentes ajuda a restringir os eventos de segurança e limitar o número de incidentes de segurança desnecessários que você cria sem modificar a pesquisa de correlação subjacente ou filtrar eventos em ArcSight ESM. Se critérios de filtragem adicionais forem definidos, somente os eventos de correlação que corresponderem a todos os critérios serão mapeados para incidentes.

        Nota:
        Se qualquer um dos nomes de campo de evento tiver caracteres especiais, como aspas ("), hifens ("), sublinhados (-) ou ampersands ("), esses caracteres talvez precisem ser substituídos para fins de tradução de mapeamento e, possivelmente, criar um nome de evento duplicado. O mapeamento pode ser feito corretamente, mas um sufixo numérico é anexado para diferenciar campos com nomes de evento duplicados. Por exemplo, se o primeiro campo de evento for events.event e o segundo campo de evento é events.event esses campos não podem ser identificados exclusivamente, pois os caracteres de texto padrão restantes são os mesmos. Nesse caso, um sufixo é adicionado ao segundo campo de evento e o campo é renomeado para eventos no evento(1) .
      Critérios de agregação de eventos para lidar com eventos de correlação semelhantes e evitar incidentes duplicados
    9. Opcional: Para evitar a criação de incidentes de segurança duplicados, defina critérios de agregação de eventos adicionais para que os eventos de correlação de entrada sejam agregados a um incidente de segurança em aberto.
      Para definir os critérios, siga estas etapas abaixo:
      1. Role até Critérios de agregação de evento No formulário e marque a caixa de seleção Condições de agregação para habilitar esta opção.

        As colunas Valores de correspondência do campo do incidente são exibidas. Esses nomes de campos são os campos no incidente de segurança que incluem todos os campos personalizados configurados no SIR incidente de segurança.

      2. Na lista Disponível, selecione os valores de campo que você deseja corresponder nos incidentes de segurança existentes em seu ServiceNow AI Platform E mova-os para a lista Selecionado.

        Todos os valores de campo selecionados devem ser correspondidos para anexar este evento de correlação de entrada a um incidente de segurança existente. Isso inclui campos, como Observáveis e Itens de configuração, que podem ter vários valores de campo de evento de correlação mapeados para eles. Todos os valores devem corresponder. Se somente um subconjunto dos valores for correspondido, as condições de agregação de evento não serão atendidas e um novo incidente de segurança será criado. Consulte a captura de tela abaixo para obter o mapeamento de campos de vários valores.


        ArcSight ESM: Criar perfil: Agregado
        Se um novo evento de correlação corresponder a todos os valores selecionados nas condições do campo de agregação na etapa de mapeamento, o novo evento de correlação será adicionado automaticamente ao incidente de segurança aberto mais recentemente com os mesmos valores de campo. Como analista de SOC que trabalha com incidentes de segurança, você pode exibir todos os eventos de correlação agregados adicionados em uma lista relacionada em um incidente de segurança. Todos os eventos de correlação agregados em um incidente de segurança são exibidos no Eventos agregados do ArcSight lista relacionada. Esta lista detalha carimbos de data/hora associados e valores de campo agregados. Essas informações ajudam a entender por que esses eventos de correlação estão sendo agregados a incidentes de segurança existentes. Se esta guia não for exibida, role para o lado esquerdo do registro em Links relacionados e clique em Mostrar todas as listas relacionadas link.
        Nota:
        Se você não vir esta lista relacionada, siga estas etapas:
        • Clique com o botão direito do mouse no cabeçalho do formulário Incidente de segurança e clique em Configurar > Listas relacionadas.
        • Selecione Eventos agregados do ArcSight Na lista Disponível, mova-o para a lista Selecionado e clique em Salvar .
        • Clique em Mostrar listas relacionadas . Agora você verá Eventos agregados do ArcSight Na seção Lista relacionada.

        ArcSight ESM: Eventos agregados
      3. Opcional: Para registrar em log uma anotação de trabalho para cada vez que um evento for agregado no incidente de segurança, marque a caixa de seleção para habilitar esta opção.
        A anotação de trabalho registra em log que um novo evento correlacionado foi adicionado junto com um link para os detalhes do evento correlacionado.
      Valores mapeados de um evento de correlação para campos em um foram mapeados com sucesso SIR incidente de segurança. Além disso, você configurou condições adicionais para limitar a criação de incidentes de segurança com critérios de filtragem de geração de incidentes. Você também agregou eventos de correlação aos existentes SIR incidentes de segurança quando os valores do campo de evento correspondem aos critérios de agregação configurados.
    10. Escolha um para continuar com a configuração do perfil.
      OpçãoDescrição
         
      Continuar O formulário Mapeamento é exibido.

      Visualização está selecionado na barra de andamento. A próxima etapa é visualizar os campos mapeados em um SIR incidente de segurança.
      Atualizar Seus dados são salvos e ArcSight ESM A lista Perfis de evento é exibida.
      Anterior O formulário Seleção de evento de correlação é exibido.
      Excluir Exclua este perfil de evento e a lista Perfis de evento será exibida.