Erstellen Sie ein Profil für die Integration der Korrelations-Event-Erfassung ArcSight ESM .
Als Benutzer mit der Rolle „sn_si.admin“ erstellen Sie ein Profil in Ihrer Instanz Now Platform und bestimmen, welche Korrelationsereignisse Security Incidents verursachen. Bevor Now Platform Security Incident Response (SIR) Security Incidents aus Korrelations-Events erstellt werden, werden die Feldwerte aus Events in einem Layout eines Now Platform Security Incident angezeigt, sodass Sie eine Vorschau auf die Erstellung des tatsächlichen Security Incident erhalten.
Vorbereitungen
Warum und wann dieser Vorgang ausgeführt wird
Korrelations-Events werden abhängig vom definierten Profiltyp automatisch in der Umgebung [ Security Operations Ihrer Instanz Now Platform erfasst. Ein Profil ist eine Kapselung einer Art von Korrelationsereignis, z. B. nicht autorisierte Zugriffsversuche oder Malware.
Nachdem ein Korrelationsereignis erfasst wurde, können Sie einzelne Korrelationsereignisfelder den entsprechenden Feldern im Security Incident zuordnen. Sie können Korrelations-Events filtern, um anzugeben, welche Events Security Incidents verursachen. Beispielsweise könnten Sie Filter bevorzugen, die Security Incidents nur für Korrelationsereignisse erstellen, die als hohes Risiko identifiziert wurden. Sie können auch zusätzliche Event-Zusammenfassungskriterien definieren, sodass eingehende doppelte Korrelations-Events zu einem offenen Security Incident zusammengefasst werden. Schließlich können Sie einen Erfassungszeitplan definieren und das Profil aktivieren.
Namen für die Event-Profile in Ihrer Instanz Now Platform müssen eindeutig sein und können jeweils nur einem aktiven Event-Profil zugeordnet werden.