Mappage des champs d’événements de corrélation pour l’intégration de l’ingestion d’événements ArcSight ESM

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

3 minutes de lecture

Une fois que vous avez identifié la règle d’événement de corrélation spécifique à partir de la liste, l’étape suivante consiste à mapper les champs d’événements de corrélation aux champs du formulaire d’incident de sécurité.

Vue d'ensemble

Pour l’étape de mappage, vous pouvez ingérer des exemples d’événements de corrélation pour la règle de corrélation sélectionnée. Au cours de cette phase de mappage, vous pouvez vous assurer que toutes les données de champ d’événement de corrélation pertinentes sont mappées à l’emplacement approprié sur le formulaire d’incident SIR , puis visualiser l’incident SIR dans la section d’aperçu.

La figure suivante montre la configuration de mappage par défaut fournie pour créer le profil d’événement de corrélation. Vous pouvez personnaliser les champs qui renseignent l’incident de sécurité.

Lorsque vous cliquez sur Récupérer des événements, les noms des champs d’événements de corrélation et les valeurs correspondantes sont renseignés sur le côté gauche du formulaire. Il s’agit des champs d’événements ArcSight ESM de corrélation qui peuvent être mappés aux champs d’incident de sécurité.

Vous préférerez peut-être passer en revue quelques exemples d’événements de corrélation sur votre console afin de les ingérer pour l’étape de configuration du mappage de champ. Cette étape s’intitule Mappage sur la barre de progression. Si cette page ne s’affiche pas, cliquez sur Mappage dans la barre de progression. Vous pouvez ingérer jusqu’à cinq exemples d’événements ArcSight ESM de corrélation à partir du gestionnaire pour la règle de corrélation sélectionnée afin d’aider au processus de mappage des champs. Il existe des options permettant soit d’ingérer les cinq événements de corrélation les plus récents pour l’événement de corrélation sélectionné, soit d’ingérer jusqu’à cinq événements de corrélation spécifiques en fonction des ID d’événements.

Vous trouverez ci-dessous un résumé des étapes requises pour mapper les événements de corrélation :

Mappage de champs : modifiez la configuration du mappage en faisant glisser les champs d’événements de corrélation du côté gauche et en les déposant sur la section de mappage d’incidents SIR de droite. Le mappage de droite associe le champ d’événement de corrélation entrant à un champ d’incident de sécurité sortant.
Expérience de mappage : personnalisez la grille de mappage en ajoutant ou en supprimant des champs à l’aide de l’icône + en bas de la section de mappage de champ d’incident SIR. Suivez les champs négligés ou précédemment mappés avec le code couleur fourni (les champs mappés sont grisés, les champs bleus ne sont pas mappés).
Conditions de génération d’incidents : une fois la section de mappage terminée, vous pouvez définir des conditions de filtre afin de filtrer les événements de corrélation qui doivent créer des incidents de sécurité par rapport aux événements de corrélation qui doivent être filtrés, par exemple, les événements de corrélation à faible priorité. Pour ce faire, reportez-vous à la section Conditions de génération d’incidents, située sous la section Ingestion d’échantillons d’événements de corrélation.
Critères d’agrégation d’événements : définissez des critères d’agrégation d’événements supplémentaires qui regroupent un événement de corrélation entrant à un incident de sécurité existant SIR au lieu de créer des incidents similaires et potentiellement dupliqués. En utilisant des critères de valeur de correspondance de champ pour chaque profil, cette option d’agrégation supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données relatives aux événements notables de sécurité connexes sur un seul incident de sécurité.
Formater la traduction des champs : dans certains cas, les valeurs des champs d’événement dans l’événement ArcSight ESM de corrélation peuvent ne pas être traduites directement dans les champs de l’incident SIR de sécurité. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez formater des valeurs similaires, mais pas identiques.
Par exemple, avec l’éditeur de script, une valeur de catégorie Alerte programme malveillant et infection par un virus peut avoir des valeurs de champ différentes pour la catégorie source, mais les deux valeurs peuvent être traduites en une activité de code malveillant commune dans le champ Catégorie de l’incident SIR de sécurité à l’aide de la fonctionnalité Formater la traduction de champ.

L’étape suivante consiste à ingérer des échantillons d’événements de corrélation et à mapper les valeurs aux champs d’incident SIR de sécurité.