Zuordnung von Korrelations-Event-Feldern für die ArcSight ESM -Integration der Event-Erfassung

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Nachdem Sie die spezifische Korrelationsereignisregel aus der Liste identifiziert haben, besteht der nächste Schritt darin, Korrelationsereignisfelder den Feldern im Security Incident-Formular zuzuordnen.

    Übersicht

    Für den Zuordnungsschritt können Sie Beispiele für Korrelationsereignisse für die ausgewählte Korrelationsregel erfassen. Während dieser Zuordnungsphase können Sie sicherstellen, dass alle relevanten Korrelations-Event-Felddaten der entsprechenden Stelle im Incident-Formular SIR zugeordnet werden, und dann den Incident SIR im Vorschaubereich visualisieren.

    Die folgende Abbildung zeigt die Standardzuordnungskonfiguration, die zum Erstellen des Korrelationsereignisprofils bereitgestellt wird. Sie können die Felder anpassen, die den Security Incident ausfüllen.
    ArcSight ESM: Profil erstellen: Standardzuordnung

    Wenn Sie auf Ereignisseabrufen klicken, werden die Feldnamen des Korrelationsereignisses und die entsprechenden Werte auf der linken Seite des Formulars ausgefüllt. Dies sind die ArcSight ESM Korrelations-Event-Felder, die zur Zuordnung zu den Security Incident-Feldern verfügbar sind.

    Möglicherweise möchten Sie einige Beispiele für Korrelationsereignisse in Ihrer Konsole überprüfen, um sie für den Konfigurationsschritt der Feldzuordnung zu erfassen. Dieser Schritt wird in der Fortschrittsleiste als Zuordnung bezeichnet. Wenn diese Seite nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung. Sie können bis zu fünf Beispielkorrelationsereignisse aus dem Manager ArcSight ESM für die ausgewählte Korrelationsregel erfassen, um den Feldzuordnungsprozess zu unterstützen. Es gibt Optionen, um entweder die fünf letzten Korrelationsereignisse für das ausgewählte Korrelationsereignis oder bis zu fünf bestimmte Korrelationsereignisse basierend auf den Ereignis-IDs zu erfassen.

    Nachfolgend finden Sie eine Zusammenfassung der Schritte, die zum Zuordnen von Korrelationsereignissen erforderlich sind:
    • Feldzuordnung: Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Korrelations-Event-Felder von der linken Seite ziehen und sie im Incident-Zuordnungsabschnitt SIR auf der rechten Seite ablegen. Die Zuordnung auf der rechten Seite ordnet das eingehende Korrelationsereignisfeld einem ausgehenden Security Incident-Feld zu.
    • Zuordnungs-Experience: Passen Sie das Zuordnungsraster an, indem Sie Felder mithilfe des Symbols + am unteren Rand des Abschnitts „SIR-Incident-Feldzuordnung“ hinzufügen oder entfernen. Verfolgen Sie übersehene oder zuvor zugeordnete Felder mit der angegebenen Farbcodierung nach (zugeordnete Felder sind ausgegraut, blaue Felder sind nicht zugeordnet).
    • Bedingungen für Incident-Generierung: Sobald der Zuordnungsabschnitt abgeschlossen ist, können Sie Filterbedingungen definieren, sodass Sie filtern können, welche Korrelationsereignisse Security Incidents erstellen sollen und welche Korrelationsereignisse herausgefiltert werden sollen, z. B. Korrelationsereignisse mit niedriger Priorität. Dies geschieht im Abschnitt „Bedingungen für Incident-Generierung“, der sich unter dem Abschnitt „Erfassung von Korrelationsereignisbeispiel“ befindet.
    • Event-Zusammenfassungskriterien: Definieren Sie zusätzliche Event-Zusammenfassungskriterien, die ein eingehendes Korrelations-Event zu einem vorhandenen SIR Security Incident zusammenfassen, anstatt ähnliche, potenziell doppelte Incidents zu erstellen. Durch die Verwendung von Wertkriterien für den Feldabgleich für jedes Profil kann diese zusätzliche Zusammenfassungsfunktion die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen Daten zu wichtigen Sicherheitsereignissen in einem einzigen Security Incident platziert werden.
    • Formatfeldübersetzung: In bestimmten Fällen werden Event-Feldwerte im Korrelations-Event ArcSight ESM möglicherweise nicht direkt in die Felder im Security Incident SIR übersetzt. Für diese Werte können Sie einen Skript-Editor verwenden, um Feldwerte im Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind.

      Zum Beispiel kann mit dem Skript-Editor ein Kategoriewert von Malware-Warnung und Virusinfection unterschiedliche Feldwerte für die Quellkategorie haben, aber beide Werte können mit in eine gemeinsame böswillige Codeaktivität im Feld Kategorie des Security Incident SIR übersetzt werden Funktion „Formatfeldübersetzung“.

    Der nächste Schritt besteht darin, Beispiele für Korrelations-Events zu erfassen und Werte den SIR Security Incident-Feldern zuzuordnen.