Crie uma programação para ArcSight ESM ingestão de evento
Você pode definir a pesquisa ou a programação de extração para novos eventos correlacionados. Durante esta etapa, você pode verificar as configurações existentes para recuperação de evento de correlação ou modificar a programação conforme necessário. Esta etapa também permite recuperar eventos de correlação históricos usando um intervalo de datas.
Antes de Iniciar
Função necessária: sn_si.admin.
Por Que e Quando Desempenhar Esta Tarefa
Você pode escolher se deseja ingerir eventos de correlação históricos durante a etapa Programação. Você também escolhe a frequência com que pesquisará novos eventos de correlação futuros que correspondam à configuração do perfil.
Como um usuário com a função sn_si.admin, você configura esses intervalos de pesquisa por perfil. O desempenho do ArcSight ESM a integração de ingestão de evento de correlação pode ser afetada pelos diferentes intervalos de pesquisa. Ao programar, você pode preferir equilibrar a redução da sobrecarga de pesquisa no ArcSight ESM servidor contra o desejo de ser notificado o mais rápido possível quando um evento é criado ou atualizado. Um valor padrão de cinco minutos é definido para qualquer perfil, mas você pode preferir modificar essa configuração para um minuto, se necessário.
Extraindo eventos de correlação novos e atualizados
Procedimento
-
Escolha um para programar como e quando os eventos de correlação são extraídos do console do <ArcSight>.
Opção Descrição - Campo Ingestão de evento contínuo selecionado
- Campo Recuperação única limpo
Evento em andamento Com base na configuração padrão, o. ServiceNow AI Platform a instância extrai do ArcSight ESM servidor para novos eventos de correlação a cada cinco minutos. Os incidentes de segurança serão criados se eventos de correlação forem encontrados e os critérios de filtragem de geração de incidentes forem correspondidos. Para equilibrar o desejo de sobrecarga de pesquisa de ingestão de obter os dados mais atuais, cinco minutos é a configuração padrão. No entanto, esse valor pode ser modificado para um minuto, se necessário.
- Campo Ingestão de eventos em andamento limpo
- Campo Recuperação única selecionado
Recuperação Única Use esta configuração se quiser uma extração única para ingerir eventos de correlação históricos.
Quando esta configuração é definida, um perfil é usado uma vez para recuperar eventos de correlação de eventos históricos baseados em um intervalo de datas. À direita do campo Desde data, clique no ícone de calendário. No calendário exibido, selecione a data em que você deseja começar a extrair alertas. A partir do valor da data Desde, os eventos de correlação são recuperados até a data atual.
Observe que você pode recuperar eventos de até sete dias a partir da data atual. Esta funcionalidade não se destina a recuperar quantidades significativas de eventos históricos por motivos de arquivamento, mas sim uma quantidade mínima de eventos em andamento que estão sendo trabalhados ativamente no momento da ativação do perfil.
Depois que os eventos de correlação forem extraídos, esta configuração não recuperará mais eventos de correlação para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todos os eventos de correlação encontrados para o intervalo inserido.
Como exemplo para programar um tempo de ingestão de evento de correlação inicial, se você tiver um diário ArcSight ESM Verificação de segurança que é executada uma vez por dia às 4 hora local, você pode configurar o perfil de evento de correlação correspondente em seu ServiceNow AI Platform Instância a ser executada às 4:05 hora local para capturar o evento de falha de segurança imediatamente e criar um incidente de segurança. Insira 04 05 00 No campo Ingestão de evento inicial. No campo Incremento (minutos), insira 1440 (24 horas) para programar a próxima ingestão de evento para 24 horas a partir da ingestão de evento inicial. A hora de ingestão do evento inicial e a hora de ingestão do próximo evento são exibidas nos campos.