Erstellen Sie ein Profil für die Integration der Korrelationsereigniserfassung ArcSight ESM .
Als Benutzer mit der Rolle sn_si.admin erstellen Sie ein Profil in Ihrer Instanz Now Platform und bestimmen, welche Korrelationsereignisse Security Incidents verursachen. Bevor Security Incidents Now Platform Security Incident Response (SIR) aus Korrelationsereignissen erstellt werden, werden die Feldwerte aus Ereignissen in einem Layout eines Now Platform -Security Incidents angezeigt, sodass Sie eine Vorschau auf die Erstellung des tatsächlichen Security Incidents anzeigen können.
Vorbereitungen
Warum und wann dieser Vorgang ausgeführt wird
Korrelationsereignisse werden je nach definiertem Profiltyp automatisch in der Umgebung [ Security Operations Ihrer Instanz Now Platform erfasst. Ein Profil ist eine Kapselung einer Art von Korrelationsereignis wie nicht autorisierter Zugriffsversuche oder Malware.
Nachdem ein Korrelationsereignis erfasst wurde, können Sie einzelne Korrelationsereignisfelder den entsprechenden Feldern im Security Incident zuordnen. Sie können Korrelationsereignisse filtern, um anzugeben, welche Ereignisse Security Incidents erstellen. Beispielsweise können Sie Filter bevorzugen, die Security Incidents nur für Korrelationsereignisse erstellen, die als hoch riskant identifiziert wurden. Sie können auch zusätzliche Kriterien für die Zusammenfassung von Ereignissen definieren, sodass eingehende doppelte Korrelationsereignisse zu einem offenen Security Incident zusammengefasst werden. Schließlich können Sie einen Aufnahmezeitplan definieren und das Profil aktivieren.
Namen für die Ereignisprofile in Ihrer Instanz Now Platform müssen eindeutig sein und können jeweils nur einem aktiven Ereignisprofil zugeordnet werden.