Erstellen Sie einen Zeitplan für die Ereigniserfassung ArcSight ESM .

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Sie können den Abfrage- oder Abrufzeitplan für neue korrelierte Events definieren. Während dieses Schritts können Sie die vorhandenen Einstellungen für den Abruf von Korrelationsereignissen überprüfen oder die Planung nach Bedarf ändern. Mit diesem Schritt können Sie auch historische Korrelationsereignisse mithilfe eines Datumsbereichs abrufen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können wählen, ob Sie historische Korrelations-Events während des Schritts „Zeitplanung“ erfassen möchten. Sie können auch auswählen, wie oft zukünftige neue Korrelations-Events abgefragt werden sollen, die der Profilkonfiguration entsprechen.

    Als Benutzer mit der Rolle „sn_si.admin“ konfigurieren Sie diese Abfrageintervalle pro Profil. Die Leistung der ArcSight ESM -Integration der Korrelationsereigniserfassung kann durch die unterschiedlichen Abfrageintervalle beeinträchtigt werden. Bei der Planung möchten Sie möglicherweise die Reduzierung des Abfrage-Overheads auf dem ArcSight ESM -Server gegen den Wunsch ausgleichen, so schnell wie möglich benachrichtigt zu werden, wenn ein Event erstellt oder aktualisiert wird. Für jedes Profil wird ein Standardwert von fünf Minuten festgelegt. Sie können diese Einstellung jedoch bei Bedarf auf eine Minute ändern.

    Neue und aktualisierte Korrelationsereignisse werden abgerufen

    Prozedur

    1. Wenn die Seite „Zeitplanung“ in der Fortschrittsleiste nicht angezeigt wird, wählen Sie Zeitplanungaus.
    2. Wählen Sie eine aus, um zu planen, wie und wann Korrelationsereignisse aus dem abgerufen werden<ArcSight> -Konsole.
      OptionBeschreibung
      • Feld „Laufende Event-Erfassung“ ausgewählt
      • Feld „Einmaliger Abruf“ gelöscht
      		 Laufendes Event

      Basierend auf der Standardeinstellung ruft die Instanz Now Platform ] alle fünf Minuten neue Korrelations-Events vom Server ArcSight ESM ab. Security Incidents werden erstellt, wenn Korrelations-Events gefunden werden und die Filterkriterien für die Incident-Generierung übereinstimmen. Um den Overhead der Erfassungsabfrage auszugleichen und die aktuellsten Daten zu erhalten, ist die Standardeinstellung fünf Minuten. Dieser Wert kann jedoch bei Bedarf auf bis zu eine Minute geändert werden.
      • Feld „Laufende Event-Erfassung“ gelöscht
      • Feld Einmaliger Abruf ausgewählt
      		 Einmaliger Abruf

      Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf wünschen, um historische Korrelations-Events zu erfassen.

      Wenn diese Einstellung konfiguriert ist, wird ein Profil einmal verwendet, um Korrelations-Events aus Verlaufs-Events abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Datumsfeld Seit auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Warnungen beginnen möchten. Beginnend mit dem Datumswert Seit werden Korrelations-Events bis zum aktuellen Datum abgerufen.

      Beachten Sie, dass Sie Events bis zu sieben Tage nach dem aktuellen Datum abrufen können. Diese Funktionalität ist nicht dazu gedacht, nennenswerte Mengen historischer Events aus Archivierungsgründen abzurufen, sondern eine minimale Anzahl von Events während der Ausführung, die zum Zeitpunkt der Profilaktivierung aktiv bearbeitet werden.

      Nachdem die Korrelationsereignisse abgerufen wurden, werden mit dieser Einstellung ab dem aktuellen Datum keine weiteren Korrelationsereignisse für dieses Profil abgerufen. Diese Einstellung füllt den Security Incident mit allen Korrelations-Events, die für den von Ihnen eingegebenen Bereich gefunden wurden.

      ArcSight ESM: Profil erstellen: Zeitplan

      Beispiel für die Planung einer anfänglichen Erfassungszeit für Korrelationsereignisse: Wenn Sie eine tägliche Sicherheitsprüfung ArcSight ESM haben, die einmal täglich um 4 Uhr Ortszeit ausgeführt wird, können Sie das entsprechende Korrelationsereignisprofil in Ihrer Instanz von Now Platform so einrichten, dass es um 16 Uhr ausgeführt wird :05 Uhr Ortszeit, um das Sicherheitsfehler-Event sofort zu erfassen und einen Security Incident zu erstellen. Geben Sie 04 05 00 in das Feld Anfängliche Event-Erfassung ein. Geben Sie im Feld Increment (Minutes) (Schritt (Minuten)) 1440 (24 Stunden) ein, um die nächste Event-Erfassung für 24 Stunden nach der ersten Event-Erfassung zu planen. Sowohl die anfängliche Event-Erfassungszeit als auch die nächste Event-Erfassungszeit werden in den Feldern angezeigt.

    3. Führen Sie die folgenden Schritte aus, um die Einstellungen für dieses Beispiel zu konfigurieren.
      1. Aktivieren Sie bei angezeigter Seite „Zeitplanung“ das Kontrollkästchen Ongoing event ingestion (Laufende Event-Erfassung), um diese Option zu aktivieren.
      2. Geben Sie im Feld Schritt (Minuten) den Wert 1440 (24 Stunden) ein.
      3. Klicken Sie auf das Kontrollkästchen Anfängliche korrelierte Event -Erfassungszeit festlegen, um die Bearbeitung der Felder Anfängliche Event-Erfassung und Nächste Event-Erfassung zu aktivieren.
      4. Geben Sie im Feld Anfängliche Event-Erfassungszeit 04 05 00ein.
        Im Feld Nächste Event-Erfassungszeit (geschätzt) wird die Zeit der nächsten Event-Erfassung angezeigt.
    4. Klicken Sie auf Fortfahren, um zur Seite „Zusätzliche Optionen“ zu navigieren.
      Hinweis:
      Die Standardanzahl der Security Incidents, die an einem Tag erstellt und zusammengefasst werden können, und der Flow-Zeitraum sind in den ArcSight ESM Integrationseinstellungen definiert. Sie können diese Einstellungen bei Bedarf ändern. Details siehe ArcSight ESM Integration Einstellungen für die Integration der Event-Erfassung.