Zuordnung von Korrelationsereignisfeldern für die ArcSight ESM -Ereigniserfassungsintegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Nachdem Sie die spezifische Korrelationsereignisregel aus der Liste identifiziert haben, besteht der nächste Schritt darin, Korrelationsereignisfelder den Feldern im Formular „Security Incident“ zuzuordnen.

    Übersicht

    Für den Zuordnungsschritt können Sie Beispiele für Korrelationsereignisse für die ausgewählte Korrelationsregel erfassen. Während dieser Zuordnungsphase können Sie sicherstellen, dass alle relevanten Daten des Korrelationsereignisfeldes an der entsprechenden Stelle im Incident-Formular SIR zugeordnet sind, und dann den Incident SIR im Vorschaubereich visualisieren.

    Die folgende Abbildung zeigt die standardmäßige Zuordnungskonfiguration, die zum Erstellen des Korrelationsereignisprofils bereitgestellt wird. Sie können die Felder anpassen, in denen der Security Incident ausgefüllt wird.
    ArcSight ESM: Profil erstellen: Standardzuordnung

    Wenn Sie auf Ereignisse abrufenklicken, werden die Feldnamen des Korrelationsereignisses und die entsprechenden Werte auf der linken Seite des Formulars ausgefüllt. Dies sind die Korrelationsereignisfelder ArcSight ESM, die für die Zuordnung zu den Feldern für Security Incidents verfügbar sind.

    Möglicherweise möchten Sie einige Beispiele für Korrelationsereignisse in Ihrer Konsole überprüfen, um sie für den Konfigurationsschritt der Feldzuordnung zu erfassen. Dieser Schritt wird auf dem Fortschrittsbalken als Zuordnung bezeichnet. Wenn diese Seite nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung. Sie können bis zu fünf Beispielekorrelationsereignisse vom Manager ArcSight ESM für die ausgewählte Korrelationsregel erfassen, um den Feldzuordnungsprozess zu unterstützen. Es gibt Optionen, um entweder die fünf neuesten Korrelationsereignisse für das ausgewählte Korrelationsereignis oder bis zu fünf spezifische Korrelationsereignisse basierend auf den Ereignis-IDs zu erfassen.

    Nachfolgend finden Sie eine Zusammenfassung der Schritte, die zum Zuordnen von Korrelationsereignissen erforderlich sind:
    • Feldzuordnung: Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Korrelationsereignisfelder aus der linken Seite in den Abschnitt SIR Incident-Zuordnung auf der rechten Seite ziehen. Die Zuordnung auf der rechten Seite ordnet das eingehende Korrelationsereignisfeld einem ausgehenden Security Incident-Feld zu.
    • Zuordnungs-Experience: Passen Sie das Zuordnungsraster an, indem Sie Felder über das Symbol + unten im Abschnitt „SIR-Incident-Feldzuordnung“ hinzufügen oder entfernen. Verfolgen Sie übersehene oder zuvor zugeordnete Felder mit der angegebenen Farbcodierung (zugeordnete Felder sind ausgegraut, blaue Felder sind nicht zugeordnet).
    • Bedingungen für Incident-Generierung: Sobald der Zuordnungsabschnitt abgeschlossen ist, können Sie Filterbedingungen definieren, um zu filtern, welche Korrelationsereignisse Security Incidents erstellen und welche Korrelationsereignisse herausgefiltert werden sollen, z. B. Korrelationsereignisse mit niedriger Priorität. Dies geschieht im Abschnitt „Bedingungen für Incident-Generierung“, der sich unter dem Abschnitt „Beispielerfassung für Korrelationsereignis“ befindet.
    • Kriterien für Ereigniszusammenfassung: Definieren Sie zusätzliche Kriterien für Ereigniszusammenfassung, die ein eingehendes Korrelationsereignis zu einem vorhandenen Security Incident SIR zusammenfassen, anstatt ähnliche, potenziell doppelte Incidents zu erstellen. Mithilfe von Wertkriterien für den Feldabgleich für jedes Profil kann diese zusätzliche Zusammenfassungsfunktion die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen Daten zu wichtigen Sicherheitsereignissen in einem einzigen Security Incident zusammengefasst werden.
    • Formatfeldübersetzung: In bestimmten Fällen werden Ereignisfeldwerte im Korrelationsereignis ArcSight ESM möglicherweise nicht direkt in die Felder im Security Incident SIR übersetzt. Für diese Werte können Sie einen Skript-Editor verwenden, um während des Zuordnungsschritts Feldwerte im Security Incident zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie ähnliche, aber nicht identische Werte formatieren möchten.

      Beispielsweise können mit dem Skript-Editor die Kategoriewerte „Malware-Warnung“ und „Virusinfizierung“ unterschiedliche Feldwerte für die Quellkategorie haben, aber beide Werte können mithilfe von in eine gemeinsame böswillige Code-Aktivität im Feld „Kategorie“ des Security Incident SIR übersetzt werden Formatfeldübersetzungsfunktion.

    Der nächste Schritt besteht darin, Beispiele für Korrelationsereignisse zu erfassen und Werte den Security Incident-Feldern SIR zuzuordnen.