Wählen Sie Korrelationsereignisse für die Integration der Ereigniserfassung ArcSight ESM aus

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Wählen Sie basierend auf der Quelle ArcSight ESM und dem konfigurierten Abfrage-Viewer eine Korrelationsereignisregel für das Profil aus.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Zeigen Sie die verfügbaren Korrelationsereignisse an, die in der Auswahl der Korrelationsereignisse in Ihrer Now Platform-Instanz aufgeführt sind, damit Sie bestimmen können, welche Korrelationsereignisse Sie erfassen und Security Incidents erstellen möchten. Sie können für jedes Profil nur einen Korrelationsregeltyp aus der Liste auswählen.

    Die Abfrage-Viewer-ID und der Abfrage-Viewer-Name werden angezeigt, wie im Formular „Abfrage-Viewer“ angegeben. Wählen Sie ein Korrelationsereignis aus der Liste aus, das Sie verwenden können, um eine Konfigurationszuordnung für das erfasste korrelierte Ereignis zu erstellen.

    Klicken Sie auf die Dropdown-Liste im Feld Liste der Korrelationsereignisse. Eine Liste der Korrelationsereignisse, die in der Abfrage-Viewer-Konsole ArcSight ESM vorhanden sind, wird angezeigt.

    Klicken Sie auf „Fortsetzen“, um mit dem nächsten Schritt im Assistenten fortzufahren.