Criar mapeamentos para ArcSight ESM integração de ingestão de eventos

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 10 min. de leitura

    • Nesta etapa, você ingere eventos de correlação de amostra e mapeia valores para os campos de incidente de segurança SIR.

    Antes de Iniciar

    Função necessária: administrador, sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Como um usuário com a função sn_si.admin, você pode revisar até cinco eventos de correlação de amostra da coluna Ingestão de amostra de evento de correlação à esquerda do formulário para ajudar no mapeamento e na conversão de valores de campo de evento para os campos de incidente de segurança no Incidente de SIR Coluna Mapeamento de campo à direita.

    Crie mapeamentos personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. Os campos exibidos por padrão são normalmente campos importantes a serem preenchidos no formulário de resposta a incidentes de segurança. No entanto, esses campos podem ser removidos e quaisquer campos adicionais podem ser exibidos usando os botões + e -. Crie mapas personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. A personalização dos campos permite mapear ArcSight ESM campos que não são exibidos na grade de mapeamento padrão no incidente de segurança.

    Procedimento

    1. Se o formulário de mapeamento não for exibido, clique em Mapeamento na barra de andamento.
    2. Você pode extrair os eventos de correlação de amostra mais recentes para a regra de correlação selecionada ou fornecer os IDs de evento de correlação exclusivos para os eventos de correlação específicos que você deseja usar para sua experiência de mapeamento de eventos de correlação.
    3. Na lista suspensa, selecione uma das seguintes opções:
      • Recuperar eventos de correlação mais recentes
      • Selecionar eventos de correlação com base no ID do evento

      Clique em Recuperar eventos para extrair os eventos de correlação de amostra mais recentes do console ArcSight ESM para a regra de pesquisa de correlação selecionada.

      Os campos de evento de correlação e os resultados dos valores são exibidos como guias individuais.

      A extração de eventos de correlação de amostra pode levar alguns minutos. Uma mensagem indicando que a transação está funcionando é exibida na parte superior da tela.

      Na figura a seguir, os pares de valores de nome de campo para o evento de correlação ingerido ou os eventos de amostra importados são exibidos no lado esquerdo deste formulário após a conclusão da extração de ingestão. Esses valores são os valores que você mapeia para os campos de incidente de segurança no lado Mapeamento de campo de incidente SIR do formulário.


      ArcSight ESM: criar perfil: recuperar eventos
    4. Para mapear um valor de campo do lado esquerdo do formulário para um campo no incidente de segurança no lado direito do formulário, clique e mantenha pressionado um nome de campo azul no lado esquerdo do formulário.
    5. Arraste o nome do campo, por exemplo, agent.hostnamee solte-o em um campo na coluna Expressão de entrada ao lado de um nome de campo na coluna Incidente de segurança.

      Para ajudá-lo a garantir que nenhum campo de evento seja ignorado ou duplicado no processo de mapeamento, os campos são codificados por cores. Os campos em azul claro à esquerda indicam que um campo de evento de correlação ainda não foi selecionado e mapeado no incidente de segurança. Você pode preferir associar um campo de correlação de entrada a mais de um campo em um incidente de segurança.

      Um campo cinza indica que um campo foi selecionado e mapeado para um campo no incidente de segurança. Essa codificação de cores ajuda a rastrear quais campos de evento já foram utilizados para mapeamentos de campo de incidentes de segurança futuros.


      ArcSight ESM: criar perfil: arrastar
    6. Para adicionar campos aos campos padrão exibidos no incidente de segurança no lado direito do formulário, siga estas etapas.
      1. À direita do formulário na seção Mapeamento de campo de incidente SIR, na parte inferior da grade, clique no ícone de mais.
        Um novo campo é exibido.
      2. Na coluna Incidente de segurança, expanda a lista de seleção exibida e selecione um campo.

        Na lista de seleção expandida do novo campo, alguns campos estão sombreados. Na figura a seguir, o usuário afetado tem um plano de fundo cinza porque foi mapeado no incidente de segurança. Semelhante à codificação de cores para os campos de eventos de correlação no lado esquerdo do formulário, essa codificação de cores para os campos de incidente de segurança à direita ajuda a rastrear os campos de incidente SIR já mapeados.


        ArcSight ESM: criar perfil:campos cinza
        Nota:
        Para que vários observáveis possam ser exibidos no mesmo incidente de segurança, o campo Observável pode ser mapeado várias vezes com valores diferentes. Da mesma forma, os campos Item de configuração e Anotações de trabalho oferecem suporte a vários valores. Se você tentar mapear dois valores para um campo que não pode oferecer suporte a vários valores, ao visualizar o incidente, será exibida uma mensagem de erro informando que não há valor para o campo. Da mesma forma, se um campo em um incidente de segurança tiver uma lista de seleção na qual você pode escolher várias opções e tentar mapear uma opção para esse campo que não está exibido na lista de seleção, o campo não será preenchido no incidente de segurança.
      3. Como alternativa, digite um valor no campo Pesquisar para a nova linha.
      4. No lado esquerdo do formulário, clique com o botão esquerdo do mouse para selecionar o ID do evento desejado no campo Expressão de entrada.
        Com o recurso de arrastar e soltar, mapeie-o ao lado do novo campo.
    7. Opcional: Abra o editor de script e continue editando.

      Para obter mais informações sobre o editor de scripts, consulte Use o editor de script para formatar valores de evento de correlação para integração ArcSight ESM.Condições de filtragem de geração de incidente

    8. Opcional: Depois de concluir as etapas de mapeamento de campo anteriores, você pode usar os mesmos valores de campo no construtor Condições de geração de incidentes para definir critérios adicionais que um evento de correlação de entrada deve satisfazer para criar um incidente de segurança SIR.
      Para definir condições de geração de incidentes, siga estas etapas.
      1. Role até a seção Condições de geração de incidente no formulário e marque a caixa de seleção Filtrar com base nas condições para habilitar a opção.

        O Construtor de condições de filtro é exibido. Use esses filtros para criar incidentes de segurança que correspondam às condições específicas descritas pelos campos.

        As opções nas listas de seleção do primeiro campo no construtor de Condições de filtro correspondem aos campos exibidos na seção Ingestão de amostra de evento de correlação para os eventos que você ingeriu. Esses campos são dinâmicos e mudam dependendo dos eventos de correlação que você ingere. Os critérios inseridos diferenciam maiúsculas de minúsculas e devem corresponder exatamente aos valores do evento de correlação ArcSight ESM.

        Usando as listas de seleção e os campos do Construtor de condições, defina filtros para a primeira linha.

      2. Para adicionar mais condições, à direita dos campos, clique em E ou OU.
        Se E for selecionado, todas as condições deverão ser atendidas. Se OU for selecionado, qualquer uma das condições poderá ser correspondida.
      3. Opcional: Na segunda linha, defina uma segunda condição de filtro.

        A imagem a seguir é um exemplo com duas condições que devem ser atendidas antes que os incidentes de segurança sejam criados.


        ArcSight ESM: criar perfil: filtrar com condições correspondentes

        Você definiu as condições de geração de incidentes para que os incidentes de segurança sejam criados somente quando ambas as condições de filtragem inseridas forem correspondidas.

        Esse tipo de filtragem de condição de geração de incidente ajuda a restringir os eventos de segurança e limitar o número de incidentes de segurança desnecessários que você cria sem modificar a pesquisa de correlação subjacente ou filtrar eventos em ArcSight ESM. Se critérios de filtragem adicionais forem definidos, somente os eventos de correlação que corresponderem a todos os critérios serão mapeados para os incidentes.

        Nota:
        Se algum dos nomes de campo de evento tiver caracteres especiais, como aspas (“), hifens ('), sublinhados (-) ou e comercial (@), talvez esses caracteres precisem ser substituídos para fins de tradução de mapeamento e possivelmente criar um evento duplicado nome. O mapeamento pode ser feito corretamente, mas um sufixo numérico é anexado para diferenciar campos com nomes de evento duplicados. Por exemplo, se o primeiro campo de evento for Events.event e o segundo campo de evento for Events.event, esses campos não poderão ser identificados exclusivamente, pois os caracteres de texto padrão restantes são os mesmos. Nesse caso, um sufixo é adicionado ao segundo campo de evento e o campo é renomeado para eventos@event(1).
      Critérios de agregação de eventos para lidar com eventos de correlação semelhantes e evitar incidentes duplicados
    9. Opcional: Para evitar a criação de incidentes de segurança duplicados, defina critérios de agregação de eventos adicionais para que os eventos de correlação de entrada sejam agregados a um incidente de segurança aberto.
      Para definir os critérios, siga estas etapas abaixo:
      1. Role até a seção Critérios de agregação de eventos no formulário e marque a caixa de seleção Condições de agregação para habilitar essa opção.

        As colunas Valores correspondentes do campo de incidente são exibidas. Esses nomes de campo são os campos no incidente de segurança que incluem todos os campos personalizados que estão configurados no incidente de segurança SIR.

      2. Na lista Disponível, selecione os valores de campo que você deseja corresponder aos incidentes de segurança existentes em seu Now Platform e mova-os para a lista Selecionado.

        Todos os valores de campo selecionados devem ser correspondidos para anexar este evento de correlação de entrada a um incidente de segurança existente. Isso inclui campos, como Observáveis e Itens de configuração, que podem ter vários valores de campo de evento de correlação mapeados para eles. Todos os valores devem corresponder. Se apenas um subconjunto dos valores for correspondido, as condições de agregação de eventos não serão atendidas e um novo incidente de segurança será criado. Consulte a captura de tela abaixo para mapeamento de campos de vários valores.


        ArcSight ESM: criar perfil: agregado
        Se um novo evento de correlação corresponder a todos os valores selecionados nas condições do campo de agregação na etapa de mapeamento, o novo evento de correlação será adicionado automaticamente ao incidente de segurança aberto mais recentemente com os mesmos valores de campo. Como analista do SOC que trabalha com incidentes de segurança, você pode exibir todos os eventos de correlação agregados adicionados em uma lista relacionada em um incidente de segurança. Todos os eventos de correlação agregados em um incidente de segurança são exibidos na lista relacionada de Eventos agregados do ArcSight. Esta lista detalha os carimbos de data/hora associados e os valores de campos agregados. Essas informações ajudam a entender por que esses eventos de correlação estão sendo agregados a incidentes de segurança existentes. Se esta guia não for exibida, role para o lado esquerdo do registro em Links relacionados e clique no link Mostrar todas as listas relacionadas.
        Nota:
        Se você não vir esta lista relacionada, siga estas etapas:
        • Clique com o botão direito do mouse no cabeçalho do formulário Incidente de segurança e clique em Configurar > Listas relacionadas.
        • Selecione Eventos agregados do ArcSight na lista Disponível, mova-o para a lista Selecionado e clique em Salvar.
        • Clique em Mostrar listas relacionadas. Agora você verá a guia Eventos agregados do ArcSight na seção Lista relacionada.

        ArcSight ESM: eventos agregados
      3. Opcional: Para registrar uma anotação de trabalho para cada vez que um evento for agregado no incidente de segurança, marque a caixa de seleção para habilitar esta opção.
        A anotação de trabalho registra que um novo evento correlacionado foi adicionado junto com um link para os detalhes do evento correlacionado.
      Você mapeou com sucesso valores de um evento de correlação para campos em um incidente de segurança SIR. Além disso, você configurou condições adicionais para limitar a criação de incidentes de segurança com critérios de filtragem de geração de incidente. Você também agregou eventos de correlação a incidentes de segurança SIR existentes quando os valores do campo de evento correspondem aos critérios de agregação configurados.
    10. Escolha um para continuar com a configuração do perfil.
      OpçãoDescrição
         
      Continuar O formulário Mapeamento é exibido.

      Avisualização está selecionada na barra de andamento. A próxima etapa é visualizar os campos mapeados em um incidente de segurança SIR.
      Atualizar Seus dados são salvos e a lista ArcSight ESM de Perfis de eventos é exibida.
      Anterior O formulário Seleção de evento de correlação é exibido.
      Excluir Exclua este perfil de evento e a lista Perfis de eventos será exibida.