Créer un calendrier pour ArcSight ESM l’ingestion d’événements

Rversion finale: Australia

Mis à jour 12 mars 2026

4 minutes de lecture

Vous pouvez définir le calendrier d’interrogation ou d’extraction pour les nouveaux événements corrélés. Au cours de cette étape, vous pouvez vérifier les paramètres existants pour la récupération d’événements de corrélation ou modifier la planification si nécessaire. Cette étape vous permet également de récupérer des événements de corrélation historiques à l’aide d’une plage de dates.

Avant de commencer

Rôle requis : sn_si.admin.

Pourquoi et quand exécuter cette tâche

Vous pouvez choisir d’ingérer des événements de corrélation historiques pendant l’étape de planification. Vous choisissez également la fréquence à laquelle vous interrogerez les futurs nouveaux événements de corrélation qui correspondent à la configuration du profil.

En tant qu’utilisateur disposant du rôle sn_si.admin, vous configurez ces intervalles d’interrogation pour chaque profil. Les différents intervalles d’interrogation peuvent affecter les performances de l’intégration ArcSight ESM de l’ingestion d’événements de corrélation. Lors de la planification, vous préférerez peut-être trouver un équilibre entre la réduction des frais généraux d’interrogation sur le ArcSight ESM serveur et le désir d’être averti dès que possible lorsqu’un événement est créé ou mis à jour. Une valeur par défaut de cinq minutes est définie pour n’importe quel profil, mais vous préférerez peut-être modifier ce paramètre à une minute si nécessaire.

Extraction d’événements de corrélation nouveaux ou mis à jour

Procédure

Si la page Planification de la barre de progression ne s’affiche pas, sélectionnez Planification.

Choisissez-en un pour planifier comment et quand les événements de corrélation sont extraits de la console <ArcSight>.

Option	Description
Champ d’ingestion de l’événement en cours sélectionné Champ Récupération ponctuelle effacé	Événement en cours En fonction du paramètre par défaut, l’instance ServiceNow AI Platform extrait du serveur de nouveaux événements de ArcSight ESM corrélation toutes les cinq minutes. Les incidents de sécurité sont créés si des événements de corrélation sont trouvés et que les critères de filtrage de génération d’incidents sont vérifiés. Pour équilibrer le désir d’obtenir les données les plus récentes, le paramètre par défaut est de cinq minutes. Toutefois, cette valeur peut être modifiée pour atteindre une minute si nécessaire.
Champ d’ingestion de l’événement en cours effacé Champ de récupération ponctuelle sélectionné	Récupération ponctuelle Utilisez cette configuration si vous souhaitez une extraction ponctuelle pour ingérer des événements de corrélation historiques. Lorsque ce paramètre est configuré, un profil est utilisé une fois pour récupérer les événements de corrélation à partir d’événements historiques basés sur une plage de dates. À droite du champ Depuis la date, cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire les alertes. À partir de la valeur Depuis la date, les événements de corrélation sont récupérés jusqu’à la date actuelle. Notez que vous pouvez récupérer des événements remontant jusqu’à sept jours à compter de la date actuelle. Cette fonctionnalité n’est pas destinée à récupérer des quantités importantes d’événements historiques pour des raisons d’archivage, mais plutôt un nombre minimal d’événements en cours sur lesquels nous travaillons activement au moment de l’activation du profil. Une fois les événements de corrélation extraits, ce paramètre ne récupère plus d’événements de corrélation pour ce profil à partir de la date actuelle. Ce paramètre renseigne l’incident de sécurité avec tous les événements de corrélation trouvés pour la plage que vous entrez.

Option

Description

Champ d’ingestion de l’événement en cours sélectionné
Champ Récupération ponctuelle effacé

Événement en cours

En fonction du paramètre par défaut, l’instance ServiceNow AI Platform extrait du serveur de nouveaux événements de ArcSight ESM corrélation toutes les cinq minutes. Les incidents de sécurité sont créés si des événements de corrélation sont trouvés et que les critères de filtrage de génération d’incidents sont vérifiés. Pour équilibrer le désir d’obtenir les données les plus récentes, le paramètre par défaut est de cinq minutes. Toutefois, cette valeur peut être modifiée pour atteindre une minute si nécessaire.

Champ d’ingestion de l’événement en cours effacé
Champ de récupération ponctuelle sélectionné

Récupération ponctuelle

Utilisez cette configuration si vous souhaitez une extraction ponctuelle pour ingérer des événements de corrélation historiques.

Lorsque ce paramètre est configuré, un profil est utilisé une fois pour récupérer les événements de corrélation à partir d’événements historiques basés sur une plage de dates. À droite du champ Depuis la date, cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire les alertes. À partir de la valeur Depuis la date, les événements de corrélation sont récupérés jusqu’à la date actuelle.

Notez que vous pouvez récupérer des événements remontant jusqu’à sept jours à compter de la date actuelle. Cette fonctionnalité n’est pas destinée à récupérer des quantités importantes d’événements historiques pour des raisons d’archivage, mais plutôt un nombre minimal d’événements en cours sur lesquels nous travaillons activement au moment de l’activation du profil.

Une fois les événements de corrélation extraits, ce paramètre ne récupère plus d’événements de corrélation pour ce profil à partir de la date actuelle. Ce paramètre renseigne l’incident de sécurité avec tous les événements de corrélation trouvés pour la plage que vous entrez.

Par exemple, pour planifier une heure d’ingestion d’événement de corrélation initiale, si vous avez un contrôle de sécurité quotidien ArcSight ESM qui s’exécute une fois par jour à 4 heures du matin, heure locale, vous pouvez configurer le profil d’événement de corrélation correspondant dans votre ServiceNow AI Platform instance pour qu’il s’exécute à 4 h 05, heure locale, pour capturer immédiatement l’événement de défaillance de sécurité et créer un incident de sécurité. Saisissez 04 05 00 dans le champ d’ingestion de l’événement initial. Dans le champ Incrément (minutes), entrez 1 440 (24 heures) pour planifier l’ingestion de l’événement suivante pendant 24 heures à compter de l’ingestion d’événement initiale. Les champs indiquent les délais d’intégration des événements initiaux et les délais d’intégration des événements suivants.

Pour configurer les paramètres de cet exemple, procédez comme suit.
1. Une fois la page Planification affichée, cochez la case Ingestion d’événements en cours pour activer cette option.
2. Dans le champ Incrément (minutes), saisissez 1 440 (24 heures).
3. Cochez la case Définir le délai d’ingestion de l’événement corrélé initial pour activer la modification des champs Ingestion de l’événement initial et Ingestion de l’événement suivant.
4. Dans le champ Délai d’ingestion de l’événement initial, saisissez 04 05 00.
  L’heure de l’ingestion de l’événement suivant (estimée) s’affiche dans le champ Délai d’ingestion de l’événement suivant.
Cliquez sur Continuer pour accéder à la page Options supplémentaires.

Remarque :
Le nombre par défaut d’incidents de sécurité qui peuvent être créés et agrégés en une journée et la période de flux sont définis dans les paramètres d’intégration ArcSight ESM . Vous pouvez modifier ces paramètres si nécessaire. Consultez ArcSight ESM Paramètres d’intégration pour l’intégration de l’ingestion d’événements pour en savoir plus.