Zusätzliche Optionen: Automatisieren Sie korrelierte Event-Aktualisierungen und -Abschlüsse basierend auf dem Incident-Status SIR .
Die ArcSight ESM -Integration verfügt über eine bidirektionale Schnittstelle, die sowohl Korrelationsereignisse zum Erstellen von Security Incidents ermöglicht, als auch die Möglichkeit, die Korrelationsereignisse zu aktualisieren, sobald der Security Incident mit relevanten Incident-Details wie der Security Incident-Nummer erstellt und/oder geschlossen wurde , Zuweisungsgruppe, SIR Incident-URL usw.
Vorbereitungen
Prozedur
-
Befolgen Sie die Anweisungen unten, um die Konfiguration für die Aktualisierung korrelierter Events abzuschließen, wenn der Security Incident erstellt wird.
Option oder Feld Beschreibung Korrelierte Ereignisse bei SIR-Incident-Erstellung aktualisieren Wählen Sie diese Option aus, wenn Sie die Korrelationsereignisphase in ArcSight ESM aktualisieren und das Ereignis mit zusätzlichen Kommentaren aktualisieren möchten, wenn aus dem Korrelationsereignis ein Security Incident erstellt wird. Dies kann für Korrelations-Events auftreten, die entweder einen neuen Security Incident erstellen oder vorhandene Security Incidents zusammenfassen könnten. Hinweis:Wenn diese Option nicht ausgewählt ist, wird die Event-Stufe nicht aktualisiert, wenn der Security Incident erstellt wird.Aktualisierung der korrelierten Ereignisphase Wählen Sie eine Stufenoption aus der Auswahlliste „Aktualisierung der korrelierten Event-Stufe“ aus, die alle verfügbaren Stufen anzeigt, die vom Server ArcSight ESM abgerufen wurden. Korrelierte Event-Phase nicht konfiguriert: Wenn Sie in Ihrer Instanz Now Platform keine korrelierten Event-Phasen konfiguriert haben, wird in der Auswahlliste „Aktualisierung der korrelierten Event-Phase“ nur die Option Phase zuweisen – Ersteinrichtung angezeigt. Führen Sie die folgenden Schritte aus, um die Phase zu konfigurieren:- Geben Sie eine Ressourcen-ID in das Feld Stufenressourcen-ID eingeben ein, und klicken Sie auf Absenden. Die Ressourcen-ID wird in der Konsole ArcSight ESM validiert, und der folgende Bildschirm wird angezeigt.
- Klicken Sie auf Speichern, um die neue Phase (Überwachung) zu speichern.
- Klicken Sie auf die Dropdown-Liste Korrelierte Event-Phase auswählen.
- Sie können die neu erstellte Phase aus der Liste auswählen.
Korrelierte Ereignisphase bereits konfiguriert: Wenn Sie die korrelierte Ereignisphase bereits konfiguriert haben, führen Sie die folgenden Schritte aus:- Wählen Sie in der Auswahlliste „Aktualisierung der korrelierten Event-Phase“ die Option Zuvor zugewiesene Phase verwenden aus.
- Wählen Sie eine vorhandene Phase aus der Auswahlliste „Korrelierte Event-Phase auswählen“ aus, wie unten gezeigt.
- Anfangskommentare, die an das korrelierte Ereignis zurückgesendet werden: Sie können nicht nur den Wert der Korrelationsereignisstufe aktualisieren, sondern auch Kommentare zu den Anmerkungen der Korrelationsstufe veröffentlichen. Wie in den Anweisungen angegeben, können Sie den im Kommentarbereich angezeigten Standardtext bearbeiten, einschließlich des Hinzufügens oder Änderns der Ersetzungsvariablen im Format ${Feldname}$ für ein beliebiges Feld im Security Incident Response-Incident-Formular.
Hinweis:Sie können entweder die in der Konsole ArcSight ESM definierten Standardphasen verwenden oder eigene benutzerdefinierte Phasen erstellen. Führen Sie die folgenden Schritte aus, um eine neue Phase zu erstellen:- Wählen Sie in der Konsole ArcSight ESM aus . Die Registerkarte Inspizieren/Bearbeiten wird angezeigt.
- Definieren Sie die neue Phase, und aktivieren Sie nicht das Kontrollkästchen Benutzer erforderlich. Stellen Sie sicher, dass die Phase richtig definiert ist und sich an der richtigen Position im Event-Lebenszyklus befindet.
- Geben Sie eine Ressourcen-ID in das Feld Stufenressourcen-ID eingeben ein, und klicken Sie auf Absenden. Die Ressourcen-ID wird in der Konsole ArcSight ESM validiert, und der folgende Bildschirm wird angezeigt.
-
Füllen Sie die Felder des Formulars aus.
Option oder Feld Beschreibung Korrelierte Ereignisse bei Abschluss des SIR-Incidents aktualisieren Wählen Sie diese Option aus, wenn Sie den Status des Korrelationsereignisses aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn ein Security Incident aus dem korrelierten Ereignis geschlossen wird. Dies geschieht sowohl für die anfänglichen auslösenden wichtigen Ereignisse, die den Security Incident erstellen, als auch für zusammengefasste Ereignisse. Hinweis:Wenn diese Option nicht ausgewählt ist, wird die Event-Stufe nicht aktualisiert, wenn der Security Incident geschlossen wird.Aktualisierung der korrelierten Ereignisphase Wählen Sie eine Stufenoption aus dem Menü aus, das alle verfügbaren Phasen anzeigt, die vom Server ArcSight ESM abgerufen wurden. Wählen Sie den Stufenwert aus, der für alle Korrelations-Events festgelegt werden soll, wenn ein Security Incident geschlossen werden soll. Hinweis:Die hier angezeigten Phasen basieren auf den Phasen, die im Abschnitt „Anfängliche Aktualisierungen des Korrelationsereignisses“ konfiguriert sind.Wählen Sie Korrelierte Event-Phase aus Wählen Sie hier einen entsprechenden Status aus. Abschlusskommentare werden an das zugehörige Ereignis zurückgesendet Sie können nicht nur den Statuswert des Korrelationsereignisses aktualisieren, sondern auch Abschlusskommentare in den Anmerkungen zum Korrelationsereignis veröffentlichen. Wie in den Anweisungen angegeben, können Sie den im Kommentarbereich angezeigten Standardtext bearbeiten, einschließlich des Hinzufügens oder Änderns der Ersetzungsvariablen im Format ${Feldname}$ für ein beliebiges Feld im Security Incident Response-Incident-Formular.