Erstellen Sie das Profil für die Integration der ArcSight ESM -Ereigniserfassung, und benennen Sie es

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Sie können ein Profil einrichten, um Korrelations-Events zu erfassen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Um ein Event-Profil für ein Korrelations-Event in Ihrer Instanz Now Platform zu erstellen, navigieren Sie zu ArcSight ESM-Integration > ArcSight ESM-Ereignisprofil.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder aus.

      Ein Beispiel für ein ausgefülltes Formular folgt der Tabelle.

      Feld Beschreibung
      Name Eindeutiger Name für das Profil. Wenn die Namen nicht eindeutig sind, wird ein Fehler angezeigt, und doppelte Profilnamen werden nicht gespeichert.

      Profilnamen in Ihrer Instanz Now Platform müssen eindeutig sein.
      Aktiv Das Kontrollkästchen ist standardmäßig deaktiviert. Wenn diese Option deaktiviert ist, ist das Profil nicht aktiv, und es findet keine Erfassung statt.
      Hinweis:
      Sie sollten alle Abschnitte im Profil ausfüllen, bevor Sie es aktivieren.
      ArcSight-Quelle Der ArcSight ESM -Server, der während des ersten Authentifizierungsschritts konfiguriert wurde. Wenn Sie mehrere ArcSight ESM Server konfiguriert haben, wählen Sie den entsprechenden Server für die Korrelationsereignistypen aus, die für das Profil erfasst werden. Sie müssen einen Wert auswählen.
      Abfrage-Viewer-ID Geben Sie die Ressourcen-ID des konfigurierten Abfrage-Viewers in die Konsole ArcSight ESM ein. Die Ressourcen-ID ist ein eindeutiger Bezeichner für jeden im ArcSight ESM-Server konfigurierten Abfrage-Viewer. Sobald die Ressourcen-ID übermittelt wurde, wird der Name der Abfrageansicht zurückgegeben, um sicherzustellen, dass der richtige Abfrage-Viewer ausgewählt wurde. Im folgenden Abschnitt finden Sie eine Screenshot-Ansicht, die zeigt, wie die Ressourcen-ID für den ausgewählten Abfrage-Viewer in ArcSight ESMermittelt wird.
      Reihenfolge Der Standardwert ist 100.

      Wenn Sie mehrere Profile erstellt haben, gibt dieser Wert eine Ausführungszeitpriorität an, wenn zwei oder mehr Profile dieselben Auslösebedingungen verwenden. Der Workflow im Profil mit der niedrigsten Nummer hat die höchste Priorität.
      (Optional) Beschreibung Zusätzlicher Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.
      Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular.
      ArcSight-Ereignisprofil: Name
      Nachdem Sie die Profildetails eingegeben haben, klicken Sie auf Fortfahren. Die Abfrage-Viewer-ID wird validiert. Wenn eine entsprechende Ressourcen-ID im Abfrage-Viewer ArcSight ESM vorhanden ist, wird der Name des Abfrage-Viewers wie unten gezeigt zurückgegeben. Wenn die Validierung fehlschlägt, überprüfen Sie, ob die Ressourcen-ID in der Konsole ArcSight ESM vorhanden ist. Wenn die Ressourcen-ID nicht gefunden wird, suchen Sie die richtige Ressourcen-ID, und geben Sie sie in das Profil ein.
      ArcSight-Abfrage-Viewer

    Nächste Maßnahme

    Der nächste Schritt besteht darin, die Korrelationsereignistypen für die Erfassung aus dem Abfrage-Viewer auszuwählen, der im vorherigen Schritt ausgewählt wurde.