Erstellen und benennen Sie das Profil für die ArcSight ESM Integration zur Ereigniserfassung

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Sie können ein Profil einrichten, um Korrelationsereignisse zu erfassen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Um ein Ereignisprofil für ein Korrelationsereignis in Ihrer Instanz Now Platform zu erstellen, navigieren Sie zu ArcSight ESM Integration > ArcSight ESM Ereignisprofilan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder aus.

      Ein Beispiel für ein ausgefülltes Formular folgt der Tabelle.

      FeldBeschreibung
      Name Eindeutiger Name für das Profil. Wenn die Namen nicht eindeutig sind, wird ein Fehler angezeigt, und doppelte Profilnamen werden nicht gespeichert.

      Profilnamen in Ihrer Instanz Now Platform müssen eindeutig sein.
      Aktiv ist standardmäßig deaktiviert. Wenn diese Option deaktiviert ist, ist das Profil nicht aktiv, und es findet keine Erfassung statt.
      Hinweis:
      Sie sollten alle Abschnitte im Profil abschließen, bevor Sie es aktivieren.
      ArcSight-Quelle Der Server ArcSight ESM, der während des ersten Authentifizierungsschritts konfiguriert wurde. Wenn mehrere ArcSight ESM -Server konfiguriert sind, wählen Sie den entsprechenden Server für die Korrelationsereignistypen aus, die für das Profil erfasst werden. Sie müssen einen Wert auswählen.
      Abfrage-Viewer-ID Geben Sie die Ressourcen-ID des konfigurierten Abfrage-Viewers in der Konsole ArcSight ESM ein. Die Ressourcen-ID ist ein eindeutiger Bezeichner für jeden im ArcSight ESM-Server konfigurierten Abfrage-Viewer. Nach dem Senden der Ressourcen-ID wird der Name der Abfrageansicht zurückgegeben, um sicherzustellen, dass der richtige Abfrage-Viewer ausgewählt wurde. Im folgenden Abschnitt finden Sie eine Screenshot-Ansicht, in der erläutert wird, wie die Ressourcen-ID für den ausgewählten Abfrage-Viewer in ArcSight ESMbestimmt wird.
      Bestellung Der Standardwert ist 100.

      Wenn Sie mehrere Profile erstellt haben, bietet dieser Wert eine Laufzeit-Ausführungspriorität, wenn zwei oder mehr Profile dieselben Auslösebedingungen verwenden. Der Workflow im Profil mit der niedrigsten Nummer hat die höchste Priorität.
      (Optional) Beschreibung Zusätzlicher Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.
      Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular.
      ArcSight-Ereignisprofil: Name
      Nachdem Sie die Profildetails eingegeben haben, klicken Sie auf Fortsetzen. Die ID des Abfrage-Viewers wird validiert. Wenn im Abfrage-Viewer ArcSight ESM eine entsprechende Ressourcen-ID vorhanden ist, wird der Name des Abfrage-Viewers wie unten gezeigt zurückgegeben. Wenn die Validierung fehlschlägt, überprüfen Sie, ob die Ressourcen-ID in der -Konsole ArcSight ESM vorhanden ist. Wenn die Ressourcen-ID nicht gefunden wird, suchen Sie die richtige Ressourcen-ID, und geben Sie sie im Profil ein.
      ArcSight Query Viewer

    Nächste Maßnahme

    Der nächste Schritt besteht in der Auswahl der Korrelationsereignistypen für die Erfassung aus dem Abfrage-Viewer, der im vorherigen Schritt ausgewählt wurde.