Wählen Sie Korrelations-Events für die Integration der ArcSight ESM -Event-Erfassung aus

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Wählen Sie basierend auf der Quelle ArcSight ESM und dem konfigurierten Abfrage-Viewer eine Korrelationsereignisregel für das Profil aus.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Zeigen Sie die verfügbaren Korrelations-Events an, die in der Auswahl des Korrelationsereignisses in Ihrer Now Platform-Instanz aufgeführt sind, damit Sie bestimmen können, welche Korrelations-Events Sie erfassen und Security Incidents erstellen möchten. Sie können für jedes Profil nur einen Korrelationsregeltyp aus der Liste auswählen.

    Die Abfrage-Viewer-ID und der Abfrage-Viewer-Name, wie im Abfrage-Viewer-Formular angegeben, werden angezeigt. Wählen Sie ein Korrelationsereignis aus der Liste aus, das Sie zum Erstellen einer Konfigurationszuordnung für das erfasste korrelierte Ereignis verwenden können.

    Klicken Sie auf die Dropdown-Liste im Feld Korrelationsereignisliste. Eine Liste der Korrelationsereignisse, die in der Query Viewer-Konsole ArcSight ESM vorhanden sind, wird angezeigt.

    Klicken Sie auf Fortsetzen, um mit dem nächsten Schritt im Assistenten fortzufahren.