Erstellen Sie Zuordnungen für die Integration der ArcSight ESM Event-Erfassung

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

8 Minuten Lesedauer

In diesem Schritt erfassen Sie Beispiele für Korrelations-Events und ordnen Werte den SIR-Security Incident-Feldern zu.

Vorbereitungen

Erforderliche Rolle: admin, sn_si.admin

Warum und wann dieser Vorgang ausgeführt wird

Als Benutzer mit der Rolle „sn_si.admin“ können Sie bis zu fünf Beispielkorrelations-Events aus der Spalte „Korrelationsereignis – Beispielerfassung“ auf der linken Seite des Formulars überprüfen, um die Zuordnung und Übersetzung von Event-Feldwerten in die Security Incident-Felder im SIR-Incident zu unterstützen Spalte „Feldzuordnung“ auf der rechten Seite.

Erstellen Sie benutzerdefinierte Zuordnungen, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Standardmäßig angezeigte Felder sind in der Regel wichtige Felder, die im Security Incident Response-Formular ausgefüllt werden müssen. Diese Felder können jedoch entfernt werden, und zusätzliche Felder können mithilfe der Schaltflächen + und - angezeigt werden. Erstellen Sie benutzerdefinierte Zuordnungen, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Durch das Anpassen der Felder können Sie ArcSight ESM Felder zuordnen, die nicht im Standardzuordnungsraster des Security Incident angezeigt werden.

Prozedur

Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung.
Sie können entweder die neuesten Beispielkorrelationsereignisse für die ausgewählte Korrelationsregel abrufen oder die eindeutigen Korrelationsereignis-IDs für die spezifischen Korrelationsereignisse angeben, die Sie für Ihre Korrelationsereigniszuordnungs-Experience verwenden möchten.
Wählen Sie in der Dropdown-Liste eine der folgenden Optionen aus:
- Rufen Sie die neuesten Korrelationsereignisse ab
- Wählen Sie Korrelations-Events basierend auf der Event-ID aus
Klicken Sie auf Ereignisse abrufen, um die neuesten Beispielkorrelationsereignisse aus der Konsole ArcSight ESM für die ausgewählte Korrelationssuchregel abzurufen.
Die Korrelations-Event-Felder und Werte-Ergebnisse werden als einzelne Registerkarten angezeigt.

Der Abruf für Beispielkorrelationsereignisse kann einige Minuten dauern. Eine Nachricht, die angibt, dass die Transaktion funktioniert, wird oben auf dem Bildschirm angezeigt.

In der folgenden Abbildung werden die Feldname-Wert-Paare für das erfasste Korrelationsereignis oder die importierten Beispielereignisse auf der linken Seite dieses Formulars angezeigt, nachdem der Erfassungsabruf abgeschlossen ist. Diese Werte sind die Werte, die Sie den Security Incident-Feldern auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zuordnen.
Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken und halten Sie einen blauen Feldnamen auf der linken Seite des Formulars.
Ziehen Sie den Feldnamen, z. B. agent.hostname, in ein Feld in der Spalte Eingabeausdruck neben einem Feldnamen in der Spalte Security Incident.

Um sicherzustellen, dass keine Event-Felder im Zuordnungsprozess übersehen oder dupliziert werden, sind die Felder farbcodiert. Hellblaue Felder auf der linken Seite zeigen an, dass noch kein Korrelationsereignisfeld ausgewählt und dem Security Incident zugeordnet wurde. Möglicherweise möchten Sie ein eingehendes Korrelationsfeld mehr als einem Feld in einem Security Incident zuordnen.

Ein graues Feld zeigt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Anhand dieser Farbcodierung können Sie nachverfolgen, welche Event-Felder bereits für zukünftige Security Incident-Feldzuordnungen verwendet wurden.
Führen Sie die folgenden Schritte aus, um den Standardfeldern, die im Security Incident auf der rechten Seite des Formulars angezeigt werden, Felder hinzuzufügen.
1. Klicken Sie rechts im Formular im Abschnitt „SIR-Incident-Feldzuordnung“ am unteren Rand des Rasters auf das Plus-Symbol.
  Ein neues Feld wird angezeigt.
2. Erweitern Sie in der Spalte Security Incident die angezeigte Auswahlliste, und wählen Sie ein Feld aus.
  
  In der erweiterten Auswahlliste für das neue Feld sind einige Felder schattiert dargestellt. In der folgenden Abbildung hat Betroffener Benutzer einen grauen Hintergrund, da er im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für die Korrelationsereignisfelder auf der linken Seite des Formulars hilft Ihnen diese Farbcodierung für die Security Incident-Felder auf der rechten Seite, die bereits zugeordneten SIR-Incident-Felder nachzuverfolgen.
  
  Hinweis:
  Damit mehrere erkennbare Elemente für denselben Security Incident angezeigt werden können, kann das Feld „Erkennbares Element“ mehrmals mit unterschiedlichen Werten zugeordnet werden. Ebenso unterstützen die Felder Konfigurationselement und Arbeitsnotizen mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des Incident eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Auswahlliste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Auswahlliste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
3. Alternativ können Sie einen Wert in das Suchfeld für die neue Zeile eingeben.
4. Klicken Sie auf der linken Seite des Formulars mit der linken Maustaste, um die Event-ID auszuwählen, die Sie im Feld Eingabeausdruck auswählen möchten.
  Ordnen Sie es mit der Drag-and-Drop-Funktion neben Ihrem neuen Feld zu.
Wahlweise: Öffnen Sie den Skript-Editor, und setzen Sie die Bearbeitung fort.

Weitere Informationen zum Skript-Editor finden Sie unter Verwenden Sie den Skript-Editor, um Korrelations-Event-Werte für die ArcSight ESM -Integration zu formatieren.Filterbedingungen für die Incident-Generierung
Wahlweise: Nachdem Sie die vorherigen Schritte der Feldzuordnung abgeschlossen haben, können Sie dieselben Feldwerte im Generator für Bedingungen für die Incident-Generierung verwenden, um zusätzliche Kriterien zu definieren, die ein eingehendes Korrelationsereignis erfüllen muss, um einen SIR Security Incident zu erstellen.
Führen Sie die folgenden Schritte aus, um Bedingungen für die Incident-Generierung festzulegen.
1. Scrollen Sie im Formular zum Abschnitt „Bedingungen für Incident-Generierung“, und aktivieren Sie das Kontrollkästchen Basierend auf Bedingungen filtern, um die Option zu aktivieren.
  
  Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den in den Feldern beschriebenen spezifischen Bedingungen entsprechen.
  
  Die Optionen in den Auswahllisten für das erste Feld im Generator für Filterbedingungen stimmen mit den Feldern überein, die im Abschnitt „Korrelationsereignis-Beispielerfassung“ für die von Ihnen erfassten Events angezeigt werden. Diese Felder sind dynamisch und ändern sich in Abhängigkeit von den Korrelationsereignissen, die Sie erfassen. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden, und sie müssen genau mit den Werten des Korrelationsereignisses ArcSight ESM übereinstimmen.
  
  Legen Sie mithilfe der Auswahllisten und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
2. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf UND oder ODER.
  Wenn UND ausgewählt ist, müssen alle Bedingungen erfüllt sein. Wenn OR ausgewählt ist, kann eine der beiden Bedingungen erfüllt sein.
3. Wahlweise: Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest.
  
  Die folgende Abbildung zeigt ein Beispiel mit zwei Bedingungen, die erfüllt sein müssen, bevor Security Incidents erstellt werden.
  
  Sie haben die Generierungsbedingungen für Incidents so festgelegt, dass Security Incidents nur erstellt werden, wenn beide von Ihnen eingegebenen Filterbedingungen erfüllt sind.
  
  Diese Art der Filterung der Incident-Generierungsbedingung hilft Ihnen, die Sicherheits-Events einzugrenzen und die Anzahl der unnötigen Security Incidents zu begrenzen, die Sie erstellen, ohne die zugrunde liegende Korrelationssuche zu ändern oder Events in ArcSight ESMherauszufiltern. Wenn zusätzliche Filterkriterien festgelegt werden, werden Incidents nur Korrelations-Events zugeordnet, die allen Kriterien entsprechen.
  
  Hinweis:
  Wenn einer der Event-Feldnamen Sonderzeichen enthält, z. B. Anführungszeichen (“), Bindestriche ('), Unterstriche (-) oder kaufmännische Und-Zeichen (@), müssen diese Zeichen möglicherweise für Zuordnungsübersetzungszwecke ersetzt werden und möglicherweise ein doppeltes Event erstellen Name. Die Zuordnung kann entsprechend erfolgen, es wird jedoch ein numerisches Suffix angehängt, um Felder mit doppelten Event-Namen zu unterscheiden. Beispiel: Wenn das erste Event-Feld „events.event“ und das zweite Event-Feld „events.event“ist, können diese Felder nicht eindeutig identifiziert werden, da die verbleibenden Standardtextzeichen identisch sind. In diesem Fall wird dem zweiten Event-Feld ein Suffix hinzugefügt, und das Feld wird in Events@event(1)umbenannt.
Ereigniszusammenfassungskriterien zur Behandlung ähnlicher Korrelationsereignisse und zur Verhinderung doppelter Incidents
Wahlweise: Um die Erstellung doppelter Security Incidents zu vermeiden, definieren Sie zusätzliche Event-Zusammenfassungskriterien, sodass eingehende Korrelations-Events zu einem offenen Security Incident zusammengefasst werden.
Führen Sie die folgenden Schritte aus, um die Kriterien festzulegen:
1. Scrollen Sie im Formular zum Abschnitt Event -Zusammenfassungskriterien, und aktivieren Sie das Kontrollkästchen Zusammenfassungsbedingungen, um diese Option zu aktivieren.
  
  Die Spalten „Übereinstimmungswerte für Incident-Feld“ werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle benutzerdefinierten Felder enthalten, die im Security Incident SIR konfiguriert wurden.
2. Wählen Sie in der Liste Verfügbar die Feldwerte aus, die Sie mit vorhandenen Security Incidents in Now Platform abgleichen möchten, und verschieben Sie sie in die Liste Ausgewählt.
  Alle von Ihnen ausgewählten Feldwerte müssen übereinstimmen, um dieses eingehende Korrelationsereignis an einen vorhandenen Security Incident anzuhängen. Dies umfasst Felder wie erkennbare Elemente und Konfigurationselemente, denen mehrere Korrelations-Event-Feldwerte zugeordnet sein können. Alle Werte müssen übereinstimmen. Wenn nur eine Teilmenge der Werte abgeglichen wird, sind die Bedingungen für die Event-Zusammenfassung nicht erfüllt, und es wird ein neuer Security Incident erstellt. Im Screenshot unten sehen Sie die Zuordnung von Feldern mit mehreren Werten.
  Wenn ein neues Korrelationsereignis mit allen Werten übereinstimmt, die in den Zusammenfassungsfeldbedingungen im Zuordnungsschritt ausgewählt sind, wird das neue Korrelationsereignis automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als SOC-Analyst, der mit Security Incidents arbeitet, können Sie alle hinzugefügten zusammengefassten Korrelations-Events in einer zugehörigen Liste zu einem Security Incident anzeigen. Alle zusammengefassten Korrelations-Events für einen Security Incident werden in der zugehörigen Liste Aggregierte ArcSight-Ereignisse angezeigt. Diese Liste enthält die zugehörigen Zeitstempel und zusammengefassten Feldwerte. Diese Informationen helfen Ihnen zu verstehen, warum diese Korrelations-Events zu vorhandenen Security Incidents zusammengefasst werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie zur linken Seite des Datensatzes unter Zugehörige Links, und klicken Sie auf den Link Alle zugehörigen Listen anzeigen.
  Hinweis:
  Wenn diese zugehörige Liste nicht angezeigt wird, führen Sie die folgenden Schritte aus:
  
  Klicken Sie mit der rechten Maustaste auf den Header des Security Incident-Formulars, und klicken Sie auf Konfigurieren > Zugehörige Listen.
  
  Wählen Sie Aggregierte ArcSight-Ereignisse in der Liste Verfügbar aus, verschieben Sie sie in die Liste Ausgewählt, und klicken Sie auf Speichern.
  
  Klicken Sie auf Zugehörige Listen anzeigen. Sie sehen jetzt die Registerkarte Aggregierte ArcSight-Ereignisse im Abschnitt „Zugehörige Liste“.
3. Wahlweise: Um eine Arbeitsnotiz für jedes Mal zu protokollieren, wenn ein Event für den Security Incident zusammengefasst wird, aktivieren Sie das Kontrollkästchen, um diese Option zu aktivieren.
  Die Arbeitsnotiz protokolliert, dass ein neues korreliertes Event hinzugefügt wurde, zusammen mit einem Link zu den korrelierten Event-Details.
Sie haben Werte aus einem Korrelationsereignis erfolgreich Feldern in einem SIR Security Incident zugeordnet. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien für die Incident-Generierung zu begrenzen. Sie haben auch Korrelations-Events zu vorhandenen SIR Security Incidents zusammengefasst, wenn Event-Feldwerte mit den konfigurierten Zusammenfassungskriterien übereinstimmen.

Wählen Sie eines aus, um mit der Profilkonfiguration fortzufahren.

Option	Beschreibung

Fortsetzen	Das Zuordnungsformular wird angezeigt. Vorschau wird auf der Fortschrittsleiste ausgewählt. Der nächste Schritt besteht darin, eine Vorschau der Felder anzuzeigen, die Sie einem SIR Security Incident zugeordnet haben.
Aktualisieren	Ihre Daten werden gespeichert, und die Liste ArcSight ESM Ereignisprofile wird angezeigt.
Zurück	Das Formular „Korrelationsereignisauswahl“ wird angezeigt.
Löschen	Löschen Sie dieses Event-Profil, und die Event-Profilliste wird angezeigt.