Créer des mappages pour ArcSight ESM l’intégration de l’ingestion d’événements

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 10 minutes de lecture

    • Au cours de cette étape, vous ingérez des échantillons d’événements de corrélation et mappez les valeurs aux champs d’incident de sécurité SIR.

    Avant de commencer

    Rôle requis : admin, sn_si.admin

    Pourquoi et quand exécuter cette tâche

    En tant qu’utilisateur disposant du rôle sn_si.admin, vous pouvez examiner jusqu’à cinq exemples d’événements de corrélation dans la colonne Ingestion d’échantillons d’événements de corrélation à gauche du formulaire pour aider au mappage et à la traduction des valeurs de champ d’événement vers les champs d’incident de sécurité dans la colonne Mappage de champ d’incident SIR à droite.

    Créez des mappages personnalisés en ajoutant ou en supprimant les champs de la grille de mappage sur le côté droit du formulaire. Les champs affichés par défaut sont généralement des champs importants à renseigner dans le formulaire de réponse aux incidents de sécurité. Toutefois, ces champs peuvent être supprimés et tous les champs supplémentaires peuvent être affichés à l’aide des boutons + et -. Créez des cartes personnalisées en ajoutant ou en supprimant les champs de la grille de mappage sur le côté droit du formulaire. La personnalisation des champs vous permet de mapper ArcSight ESM des champs qui ne sont pas affichés sur la grille de mappage par défaut sur l’incident de sécurité.

    Procédure

    1. Si le formulaire de mappage n’est pas affiché, cliquez sur Mappage dans la barre de progression.
    2. Vous pouvez extraire les échantillons d’événements de corrélation les plus récents pour la règle de corrélation sélectionnée ou fournir les ID d’événements de corrélation uniques pour les événements de corrélation spécifiques que vous souhaitez utiliser pour votre expérience de mappage d’événements de corrélation.
    3. Dans la liste déroulante, sélectionnez l’une des options suivantes :
      • Récupérer les événements de corrélation les plus récents
      • Sélectionner des événements de corrélation en fonction de l’ID d’événement

      Cliquez sur Récupérer les événements pour extraire les derniers échantillons d’événements de corrélation de la ArcSight ESM console pour la règle de recherche de corrélation sélectionnée.

      Les champs d’événements de corrélation et les résultats des valeurs sont affichés sous forme d’onglets individuels.

      L’extraction d’échantillons d’événements de corrélation peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran.

      Dans la figure suivante, les paires de valeurs de nom de champ pour l’événement de corrélation ingéré ou les événements d’échantillon importés s’affichent sur le côté gauche de ce formulaire une fois l’extraction d’ingestion terminée. Ces valeurs sont celles que vous mappez aux champs d’incident de sécurité du côté du mappage de champ d’incident SIR du formulaire.


      ArcSight ESM : créer un profil : récupérer des événements
    4. Pour mapper une valeur de champ du côté gauche du formulaire à un champ de l’incident de sécurité sur le côté droit du formulaire, cliquez longuement sur le nom d’un champ bleu sur le côté gauche du formulaire.
    5. Faites glisser le nom du champ, par exemple agent.hostname, et déposez-le sur un champ de la colonne Expression d’entrée en regard d’un nom de champ dans la colonne Incident de sécurité.

      Pour vous assurer qu’aucun champ d’événement n’est négligé ou dupliqué dans le processus de mappage, les champs sont codés par couleur. Les champs bleu clair à gauche indiquent qu’un champ d’événement de corrélation n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférerez peut-être associer un champ de corrélation entrant à plusieurs champs sur un incident de sécurité.

      Un champ gris indique qu’un champ a été sélectionné et mappé à un champ sur l’incident de sécurité. Ce codage couleur vous aide à suivre les champs d’événement qui ont déjà été utilisés pour les futurs mappages de champs d’incidents de sécurité.


      ArcSight ESM : créer un profil : faire glisser
    6. Pour ajouter des champs aux champs par défaut affichés dans l’incident de sécurité à droite du formulaire, procédez comme suit.
      1. À droite du formulaire, dans la section Mappage des champs d’incidents SIR, en bas de la grille, cliquez sur l’icône plus.
        Un nouveau champ s’affiche.
      2. Dans la colonne Incident de sécurité, développez la liste de choix qui s’affiche, puis sélectionnez un champ.

        Dans la liste de choix développée pour le nouveau champ, certains champs sont grisés. Dans la figure suivante, l’utilisateur affecté a un arrière-plan gris, car il a été mappé dans l’incident de sécurité. Semblable au code couleur pour les champs d’événements de corrélation sur le côté gauche du formulaire, ce code couleur pour les champs d’incident de sécurité sur la droite vous aide à suivre les champs d’incident SIR déjà mappés.


        ArcSight ESM : créer un profil : champs gris
        Remarque :
        Pour pouvoir afficher plusieurs observables sur le même incident de sécurité, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Élément de configuration et Notes de travail prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, lorsque vous affichez un aperçu de l’incident, un message d’erreur s’affiche indiquant qu’il n’y a aucune valeur pour le champ. De même, si un champ d’un incident de sécurité dispose d’une liste de choix à partir de laquelle vous pouvez choisir plusieurs options et que vous essayez de mapper une option à ce champ qui n’est pas affiché sur la liste de choix, le champ n’est pas renseigné pour l’incident de sécurité.
      3. Vous pouvez également saisir une valeur dans le champ Rechercher pour la nouvelle ligne.
      4. Sur le côté gauche du formulaire, cliquez avec le bouton gauche pour sélectionner l’ID d’événement de votre choix dans le champ expression d’entrée .
        Grâce à la fonctionnalité glisser-déposer, mappez-le à côté de votre nouveau champ.
    7. Facultatif : Ouvrez l’éditeur de script et poursuivez la modification.

      Pour plus d’informations sur l’éditeur de script, reportez-vous à la section Utiliser l’éditeur de script pour formater les valeurs d’événements de corrélation pour ArcSight ESM l’intégration.Conditions de filtrage de génération d’incidents

    8. Facultatif : Une fois que vous avez terminé les étapes de mappage de champs précédentes, vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération d’incident pour définir des critères supplémentaires qu’un événement de corrélation entrant doit satisfaire pour créer un SIR incident de sécurité.
      Pour définir les conditions de génération d’incidents, procédez comme suit.
      1. Faites défiler le formulaire jusqu’à la section Conditions de génération d’incidents et cochez la case Filtre basé sur les conditions pour activer l’option.

        Le générateur de conditions de filtre s’affiche. Utilisez ces filtres pour créer des incidents de sécurité qui correspondent aux conditions spécifiques décrites par les champs.

        Les options des listes de choix pour le premier champ du créateur de conditions de filtre correspondent aux champs affichés dans la section Ingestion d’échantillons d’événements de corrélation pour les événements que vous avez ingérés. Ces champs sont dynamiques et changent en fonction des événements de corrélation que vous ingérez. Les critères que vous saisissez sont sensibles à la casse et doivent correspondre exactement aux valeurs de l’événement ArcSight ESM de corrélation.

        À l’aide des listes de choix et des champs du créateur de condition, définissez des filtres pour la première ligne.

      2. Pour ajouter d’autres conditions, à droite des champs, cliquez sur ET ou OU.
        Si ET est sélectionné, toutes les conditions doivent être remplies. Si OU est sélectionné, l’une ou l’autre condition peut être mise en correspondance.
      3. Facultatif : Dans la deuxième ligne, définissez une deuxième condition de filtre.

        L’image suivante est un exemple avec deux conditions qui doivent être satisfaites avant de créer des incidents de sécurité.


        ArcSight ESM : Créer un profil : filtrer avec des conditions correspondantes

        Vous avez défini les conditions de génération d’incident de sorte que les incidents de sécurité ne sont créés que lorsque les deux conditions de filtrage que vous avez saisies correspondent.

        Ce type de filtrage des conditions de génération d’incidents vous aide à affiner les événements de sécurité et à limiter le nombre d’incidents de sécurité inutiles que vous créez sans modifier la recherche de corrélation sous-jacente ou filtrer les événements dans ArcSight ESM. Si des critères de filtrage supplémentaires sont définis, seuls les événements de corrélation qui correspondent à tous les critères sont mappés aux incidents.

        Remarque :
        Si l’un des noms de champs d’événements comporte des caractères spéciaux tels que des guillemets (« ) », des traits d’union ('), des traits de soulignement (-) ou des esperluettes (@), il peut être nécessaire de remplacer ces caractères à des fins de traduction de mappage et de créer un nom d’événement en double. Le mappage peut être effectué correctement, mais un suffixe numérique est ajouté pour différencier les champs avec des noms d’événements en double. Par exemple, si le premier champ d’événement est events.event et que le deuxième champ d’événement est events.event, ces champs ne peuvent pas être identifiés de manière unique car les caractères de texte standard restants sont identiques. Dans ce cas, un suffixe est ajouté au deuxième champ d’événement et le champ est renommé en events@event(1).
      Critères d’agrégation d’événements pour gérer des événements de corrélation similaires et empêcher les incidents en double
    9. Facultatif : Pour éviter de créer des incidents de sécurité en double, définissez des critères d’agrégation d’événements supplémentaires afin que les événements de corrélation entrants soient regroupés en un incident de sécurité ouvert.
      Pour définir les critères, procédez comme suit :
      1. Faites défiler le formulaire jusqu’à la section Critères d’agrégation d’événements et cochez la case Conditions d’agrégation pour activer cette option.

        Les colonnes Valeurs correspondantes de champ d’incident s’affichent. Ces noms de champs sont les champs de l’incident de sécurité qui incluent tous les champs personnalisés configurés sur l’incident SIR de sécurité.

      2. Dans la liste Disponible, sélectionnez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans votre Now Platform et déplacez-les vers la liste Sélectionné.

        Toutes les valeurs de champ que vous sélectionnez doivent être mises en correspondance pour ajouter cet événement de corrélation entrant à un incident de sécurité existant. Cela inclut les champs, tels que les observables et les éléments de configuration, auxquels plusieurs valeurs de champ d’événement de corrélation sont mappées. Toutes les valeurs doivent correspondre. Si seul un sous-ensemble de valeurs correspond, les conditions d’agrégation d’événements ne seront pas remplies et un nouvel incident de sécurité sera créé. Voir la capture d’écran ci-dessous pour le mappage de champs à valeurs multiples.


        ArcSight ESM : créer un profil : agrégat
        Si un nouvel événement de corrélation correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation à l’étape de mappage, le nouvel événement de corrélation est automatiquement ajouté à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’analyste SOC travaillant sur des incidents de sécurité, vous pouvez afficher tous les événements de corrélation agrégés ajoutés dans une liste connexe d’un incident de sécurité. Tous les événements de corrélation agrégés sur un incident de sécurité sont affichés dans la liste connexe Événements ArcSight agrégés . Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi ces événements de corrélation sont regroupés aux incidents de sécurité existants. Si cet onglet n’est pas affiché, faites défiler vers le côté gauche de l’enregistrement sous Liens connexes et cliquez sur le lien Afficher toutes les listes connexes .
        Remarque :
        Si vous ne voyez pas cette liste connexe, procédez comme suit :
        • Cliquez avec le bouton droit sur l’en-tête du formulaire d’incident de sécurité, puis cliquez sur Configurer > Listes connexes.
        • Sélectionnez Aggregated ArcSight Events (Événements ArcSight agrégés ) dans la liste Available (Disponible), déplacez-le vers la liste Selected (Sélectionné), puis cliquez sur Save (Enregistrer).
        • Cliquez sur Afficher les listes connexes. Vous verrez maintenant l’onglet Aggregated ArcSight Events (Événements ArcSight agrégés ) dans la section Related List (Liste connexe).

        ArcSight ESM : événements agrégés
      3. Facultatif : Pour consigner une note de travail pour chaque fois qu’un événement est agrégé sur l’incident de sécurité, cochez la case pour activer cette option.
        La note de travail consigne l’ajout d’un nouvel événement corrélé, ainsi qu’un lien vers les détails de l’événement corrélé.
      Vous avez mappé avec succès les valeurs d’un événement de corrélation aux champs d’un SIR incident de sécurité. En outre, vous avez configuré des conditions supplémentaires pour limiter la création d’incidents de sécurité avec des critères de filtrage de génération d’incidents. Vous avez également agrégé des événements de corrélation aux incidents de sécurité existants SIR lorsque les valeurs des champs d’événement correspondent aux critères d’agrégation configurés.
    10. Choisissez-en un pour poursuivre la configuration du profil.
      OptionDescription
         
      Continuer Le formulaire de mappage s’affiche.

      L’aperçu est sélectionné dans la barre de progression. L’étape suivante consiste à prévisualiser les champs que vous avez mappés sur un SIR incident de sécurité.
      Mettre à jour Vos données sont enregistrées et la liste des profils d’événements s’affiche ArcSight ESM .
      Précédent Le formulaire Sélection de l’événement de corrélation s’affiche.
      Supprimer Supprimez ce profil d’événement et la liste des profils d’événements s’affiche.