Mappage des champs d’événement de corrélation pour l’intégration d’ingestion d’événements ArcSight ESM

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Une fois que vous avez identifié la règle d’événement de corrélation spécifique dans la liste, l’étape suivante consiste à mapper les champs d’événement de corrélation aux champs du formulaire d’incident de sécurité.

    Vue d’ensemble du mappage des champs d’événements de corrélation

    Pour l’étape de mappage, vous pouvez ingérer des exemples d’événements de corrélation pour la règle de corrélation sélectionnée. Au cours de cette phase de mappage, vous pouvez vous assurer que toutes les données de champ d’événement de corrélation pertinentes sont mappées à l’endroit approprié sur le SIR formulaire d’incident, puis visualiser l’incident dans la section d’aperçu SIR .

    La figure suivante montre la configuration de mappage fournie par défaut pour créer le profil d’événement de corrélation. Vous pouvez personnaliser les champs qui renseignent l’incident de sécurité.
    ArcSight ESM : créer un profil : carte par défaut

    Lorsque vous cliquez sur Récupérer des événements, les noms des champs d’événement de corrélation et les valeurs correspondantes sont renseignés sur le côté gauche du formulaire. Il s’agit des champs d’événement de ArcSight ESM corrélation qui peuvent être mappés aux champs d’incident de sécurité.

    Vous préférerez peut-être examiner quelques exemples d’événements de corrélation sur votre console à ingérer pour l’étape de configuration du mappage de champ. Cette étape est étiquetée Mappage sur la barre de progression. Si cette page n’est pas affichée, cliquez sur Mappage dans la barre de progression. Vous pouvez ingérer jusqu’à cinq exemples d’événements de corrélation à partir ArcSight ESM du gestionnaire pour la règle de corrélation sélectionnée afin de faciliter le processus de mappage des champs. Il existe des options permettant soit d’ingérer les cinq événements de corrélation les plus récents pour l’événement de corrélation sélectionné, soit d’ingérer jusqu’à cinq événements de corrélation spécifiques en fonction des ID d’événements.

    Vous trouverez ci-dessous un résumé des étapes requises pour mapper des événements de corrélation :
    • Mappage de champs : modifiez la configuration du mappage en faisant glisser les champs d’événements de corrélation du côté gauche et en les déposant dans la section de mappage d’incident SIR à droite. Le mappage sur la droite associe le champ d’événement de corrélation entrant à un champ d’incident de sécurité sortant.
    • Expérience de mappage : personnalisez la grille de mappage en ajoutant ou en supprimant des champs à l’aide de l’icône + en bas de la section de mappage du champ d’incident SIR. Suivez les champs négligés ou précédemment mappés à l’aide du code couleur fourni (les champs mappés sont grisés, les champs bleus ne sont pas mappés).
    • Conditions de génération d’incidents : une fois la section de mappage terminée, vous pouvez définir des conditions de filtre afin de pouvoir filtrer les événements de corrélation qui doivent créer des incidents de sécurité par rapport aux événements de corrélation qui doivent être filtrés, par exemple, les événements de corrélation de faible priorité. Cette opération est effectuée dans la section Conditions de génération d’incidents située sous la section Ingestion d’échantillons d’événements de corrélation.
    • Critères d’agrégation d’événements : définissez des critères d’agrégation d’événements supplémentaires qui regroupent un événement de corrélation entrant à un incident de sécurité existant SIR au lieu de créer des incidents similaires potentiellement en double. En utilisant des critères de correspondance de champ pour chaque profil, cette option d’agrégation supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données d’événement notable de sécurité connexes sur un seul incident de sécurité.
    • Formater la traduction du champ : dans certains cas, les valeurs des champs d’événement dans l’événement de ArcSight ESM corrélation peuvent ne pas se traduire directement dans les champs de l’incident SIR de sécurité. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez formater des valeurs similaires, mais pas identiques.

      Par exemple, avec l’éditeur de script, une valeur de catégorie Alerte de programme malveillant et Infection virale peut avoir des valeurs de champ différentes pour la catégorie source, mais les deux valeurs peuvent être traduites en une activité de code malveillant commune dans le champ Catégorie de l’incident de sécurité à l’aide SIR de la fonctionnalité Formater la traduction du champ.

    L’étape suivante consiste à ingérer des exemples d’événements de corrélation et à mapper les valeurs aux champs d’incident SIR de sécurité.