Zeigen Sie eine Vorschau des Security Incident für die Ereigniserfassungsintegration ArcSight ESM an

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Nachdem Sie den Zuordnungsschritt abgeschlossen haben, zeigen Sie eine Vorschau der Werte an, die Sie in einem Security Incident Now Platform Security Incident Response (SIR) zugeordnet haben. Mit diesem Vorschauschritt können Sie überprüfen, ob Sie alle Korrelationsfelder zugeordnet haben, die im Security Incident angezeigt werden sollen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin.

    Warum und wann dieser Vorgang ausgeführt wird

    Als Benutzer mit der Rolle sn_si.admin können Sie die Vorschau eines Security Incident anzeigen und die Zuordnung nach Bedarf erneut bearbeiten, um Felder mit Fehlern zu korrigieren oder fehlende Daten auszufüllen. Wenn die Vorschau nicht erfolgreich abgeschlossen wird, können Sie nicht mit dem Planungsschritt fortfahren. Vorschauen auf Security Incidents werden nicht als tatsächliche Incidents im Produkt Security Incident Response gespeichert.

    Prozedur

    1. Wenn die Vorschau des Security Incidents nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Vorschau.
    2. Wählen Sie in der Auswahlliste Beispielereignis-IDs ein Element aus.
      Der Security Incident wird angezeigt. Ändern Sie keine Informationen in den Feldern. Diese Ansicht ist schreibgeschützt, und ein Datensatz dieses Security Incidents wird nicht gespeichert.
    3. Überprüfen Sie die Feldzuordnung der Korrelationsereigniswerte für den Security Incident.

      ArcSight ESM: Profil erstellen: Vorschau

      Das vorherige Bild ist ein Beispiel für eine Vorschau mit einem Zuordnungsfehler. In diesem Beispiel hat ein Feldwert aus dem Korrelationsereignis keinen akzeptablen Wert für das Referenzfeld im SIR-Incident-Formular. Es wird eine Fehlermeldung angezeigt, die darauf hinweist, dass für das Feld Kategorie, bei der es sich um ein Referenzfeld mit einem bestimmten Satz von Werten handelt, kein Eingabewert gefunden wurde. Daher wird dieser zugeordnete Feldwert nicht ohne weitere Änderung im Formular „Security Incident SIR “ angezeigt.

    4. Um diesen Fehler zu beheben, klicken Sie in der Fortschrittsleiste auf Zuordnung.
    5. Bearbeiten Sie die Zuordnung, um falsche Werte zu korrigieren oder fehlende Daten auszufüllen.
    6. Zeigen Sie erneut eine Vorschau der Zuordnung an, und fahren Sie mit der Behebung von Fehlern fort, die in den -Fehlermeldungen beschrieben werden.

      Die folgende Abbildung zeigt ein Beispiel für die Registerkarte Incident-Details in der unteren Hälfte eines Security Incident, nachdem alle Fehlermeldungen gelöst wurden. Für dieses Beispiel wurden die Felder Beschreibung und Arbeitsnotizen zugeordnet, und diese Felder werden mit den Werten aus den Wertepaaren gefüllt, die aus den Beispielen für Korrelationsereignisse ArcSight ESM abgerufen wurden.


      ArcSight ESM: Profil erstellen: Incident-Vorschau anzeigen

    Nächste Maßnahme

    Wenn keine Fehlermeldungen angezeigt werden und Sie mit der Feldzuordnung im Security Incident zufrieden sind, besteht der nächste Schritt in der Definition des Zeitplans.