Zeigen Sie eine Vorschau des Security Incident für die ArcSight ESM -Integration der Ereigniserfassung an

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Nachdem Sie den Zuordnungsschritt abgeschlossen haben, zeigen Sie eine Vorschau der Werte an, die Sie in einem Now Platform Security Incident Response (SIR)-Security Incident zugeordnet haben. Mit diesem Vorschauschritt können Sie überprüfen, ob Sie alle Korrelationsfelder zugeordnet haben, die im Security Incident angezeigt werden sollen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin.

    Warum und wann dieser Vorgang ausgeführt wird

    Zeigen Sie als Benutzer mit der Rolle sn_si.admin eine Vorschau eines Security Incident an und bearbeiten Sie die Zuordnung bei Bedarf erneut, um fehlerhafte Felder zu korrigieren oder fehlende Daten auszufüllen. Wenn die Vorschau nicht erfolgreich abgeschlossen wurde, können Sie nicht mit dem Planungsschritt fortfahren. Vorschauen von Security Incidents werden nicht als tatsächliche Incidents im Produkt Security Incident Response gespeichert.

    Prozedur

    1. Wenn die Security Incident-Vorschau nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Vorschau.
    2. Wählen Sie in der Auswahlliste Beispiel-Event-IDs ein Element aus.
      Der Security Incident wird angezeigt. Ändern Sie keine Informationen in den Feldern. Diese Ansicht ist schreibgeschützt, und ein Datensatz dieses Security Incident wird nicht gespeichert.
    3. Überprüfen Sie die Feldzuordnung der Korrelationsereigniswerte für den Security Incident.

      ArcSight ESM: Profil erstellen: Vorschau

      Die vorherige Abbildung zeigt eine Vorschau mit einem Zuordnungsfehler. In diesem Beispiel hat ein Feldwert aus dem Korrelationsereignis keinen akzeptablen Wert für das Referenzfeld im SIR-Incident-Formular. Eine Fehlermeldung wird angezeigt, die angibt, dass für das Feld Kategorie, das ein Referenzfeld mit einem bestimmten Wertesatz ist, kein Eingabewert gefunden wurde. Daher wird dieser zugeordnete Feldwert nicht ohne weitere Änderung im Security Incident-Formular SIR angezeigt.

    4. Um diesen Fehler zu beheben, klicken Sie in der Fortschrittsleiste auf Zuordnung.
    5. Bearbeiten Sie die Zuordnung, um falsche Werte zu korrigieren oder fehlende Daten auszufüllen.
    6. Zeigen Sie eine erneute Vorschau der Zuordnung an, und fahren Sie mit der Behebung von Fehlern fort, die in Fehlermeldungen beschrieben werden.

      Die folgende Abbildung zeigt ein Beispiel für die Registerkarte „Incident-Details“ in der unteren Hälfte eines Security Incident, nachdem alle Fehlermeldungen gelöst wurden. In diesem Beispiel wurden die Felder „Beschreibung“ und „Arbeitsnotizen“ zugeordnet, und diese Felder werden mit den Werten aus den Wertepaaren ausgefüllt, die aus den ArcSight ESM Korrelationsereignisbeispielen abgerufen wurden.


      ArcSight ESM: Profil erstellen: Incident-Vorschau anzeigen

    Nächste Maßnahme

    Wenn keine Fehlermeldungen angezeigt werden und Sie mit der Feldzuordnung für den Security Incident zufrieden sind, besteht der nächste Schritt darin, den Zeitplan zu definieren.