Erstellen Sie einen Zeitplan für die Erfassung des Ereignisses ArcSight ESM in der Ereigniserfassung

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Sie können den Abfrage- oder Abrufzeitplan für neue zugehörige Ereignisse definieren. Während dieses Schritts können Sie die vorhandenen Einstellungen für den Abruf von Korrelationsereignissen überprüfen oder die Zeitplanung nach Bedarf ändern. Mit diesem Schritt können Sie auch historische Korrelationsereignisse mithilfe eines Datumsbereichs abrufen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können auswählen, ob Sie während des Schritts „Zeitplanung“ historische Korrelationsereignisse erfassen möchten. Sie können auch auswählen, wie häufig Sie nach zukünftigen neuen Korrelationsereignissen suchen, die der Profilkonfiguration entsprechen.

    Als Benutzer mit der Rolle sn_si.admin konfigurieren Sie diese Abfrageintervalle für einzelne Profile. Die Leistung der ArcSight ESM Integration zur Korrelationsereigniserfassung kann durch die unterschiedlichen Abfrageintervalle beeinflusst werden. Bei der Planung möchten Sie möglicherweise die Reduzierung des Abfrageaufwands auf dem Server ArcSight ESM mit dem Wunsch in Einklang bringen, so bald wie möglich benachrichtigt zu werden, wenn ein Ereignis erstellt oder aktualisiert wird. Für jedes Profil ist ein Standardwert von fünf Minuten festgelegt. Bei Bedarf können Sie diese Einstellung jedoch auch auf einen Wert von nur einer Minute ändern.

    Es werden neue und aktualisierte Korrelationsereignisse abgerufen

    Prozedur

    1. Wenn die Seite „Zeitplanung“ in der Fortschrittsleiste nicht angezeigt wird, wählen Sie „ Zeitplanung“ aus.
    2. Wählen Sie eine aus, um zu planen, wie und wann Korrelationsereignisse aus abgerufen werden<ArcSight> -Konsole.
      OptionBeschreibung
      • Feld „Laufende Ereigniserfassung“ ausgewählt
      • Feld für einmaligen Abruf gelöscht
      		 Laufendes Ereignis

      Basierend auf der Standardeinstellung ruft die Instanz Now Platform ] alle fünf Minuten neue Korrelationsereignisse vom Server ArcSight ESM ab. Security Incidents werden erstellt, wenn Korrelationsereignisse gefunden werden und die Filterkriterien für die Incident-Generierung erfüllt sind. Um den Overhead-Wunsch für die Erfassungsabfrage nach dem Abrufen der neuesten Daten auszugleichen, ist die Standardeinstellung fünf Minuten. Dieser Wert kann jedoch bei Bedarf auf bis zu eine Minute geändert werden.
      • Feld „Laufende Ereigniserfassung“ gelöscht
      • Feld „Einmaliger Abruf“ ausgewählt
      		 Einmaliger Abruf

      Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf wünschen, um historische Korrelationsereignisse zu erfassen.

      Wenn diese Einstellung konfiguriert ist, wird ein Profil einmal verwendet, um Korrelationsereignisse aus historischen Ereignissen abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Feld Seit Datum auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Warnungen beginnen möchten. Beginnend mit dem Datumswert „Seit“ werden Korrelationsereignisse bis zum aktuellen Datum abgerufen.

      Beachten Sie, dass Sie Ereignisse ab dem aktuellen Datum bis zu sieben Tage zurückverfolgen können. Diese Funktionalität ist nicht dazu gedacht, signifikante Mengen von historischen Ereignissen zu Archivierungszwecken abzurufen, sondern eine minimale Menge von Ereignissen während der ausführung, an denen zum Zeitpunkt der Profilaktivierung aktiv gearbeitet wird.

      Nachdem die Korrelationsereignisse abgerufen wurden, werden mit dieser Einstellung ab dem aktuellen Datum keine weiteren Korrelationsereignisse für dieses Profil abgerufen. Mit dieser Einstellung wird der Security Incident mit allen Korrelationsereignissen gefüllt, die für den von Ihnen eingegebenen Bereich gefunden werden.

      ArcSight ESM: Profil erstellen: Zeitplan

      Als Beispiel für die Planung einer ersten Erfassungszeit des Korrelationsereignisses: Wenn Sie eine tägliche Sicherheitsprüfung ArcSight ESM haben, die einmal pro Tag um 4 Uhr Ortszeit ausgeführt wird, können Sie das entsprechende Korrelationsereignisprofil in Ihrer Instanz Now Platform so einrichten, dass es um 4 Uhr ausgeführt wird :05 Uhr Ortszeit, um das Sicherheitsfehlerereignis sofort zu erfassen und einen Security Incident zu erstellen. Geben Sie 04 05 00 in das Feld Anfängliche Ereigniserfassung ein. Geben Sie im Feld Inkrement (Minuten) den Wert 1440 (24 Stunden) ein, um die nächste Ereigniserfassung für 24 Stunden ab der ersten Ereigniserfassung zu planen. Sowohl die Zeit der ersten Ereigniserfassung als auch die Zeit der nächsten Ereigniserfassung werden in den Feldern angezeigt.

    3. Führen Sie die folgenden Schritte aus, um die Einstellungen für dieses Beispiel zu konfigurieren.
      1. Aktivieren Sie auf der Seite „Zeitplanung“ das Kontrollkästchen Fortlaufende Ereigniserfassung, um diese Option zu aktivieren.
      2. Geben Sie im Feld Schritt (Minuten) den Wert 1440 (24 Stunden) ein.
      3. Klicken Sie auf das Kontrollkästchen Erste Zeit der zugehörigen Ereigniserfassung festlegen, um die Bearbeitung der Felder Erste Ereigniserfassung und Nächste Ereigniserfassung zu aktivieren.
      4. Geben Sie im Feld Zeit der ersten Ereigniserfassung den Wert 04 05 00ein.
        Im Feld Zeit der nächsten Ereigniserfassung (geschätzt) wird die Zeit der nächsten Ereigniserfassung angezeigt.
    4. Klicken Sie auf „ Fortsetzen “, um zur Seite „Zusätzliche Optionen“ zu navigieren.
      Hinweis:
      Die Anzahl der Security Incidents, die standardmäßig an einem Tag erstellt und zusammengefasst werden können, sowie der Flow-Zeitraum werden in den ArcSight ESM Integrationseinstellungen definiert. Sie können diese Einstellungen bei Bedarf ändern. Details siehe ArcSight ESM Integrationseinstellungen für die Integration der Ereigniserfassung.