Créer un calendrier pour ArcSight ESM l’ingestion d’événements

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Vous pouvez définir la planification d’interrogation ou d’extraction pour les nouveaux événements corrélés. Au cours de cette étape, vous pouvez vérifier les paramètres existants pour la récupération d’événements de corrélation ou modifier la planification selon vos besoins. Cette étape vous permet également de récupérer les événements de corrélation historiques à l’aide d’une plage de dates.

    Avant de commencer

    Rôle requis : sn_si.admin.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez choisir si vous souhaitez ingérer des événements de corrélation historiques au cours de l’étape de planification. Vous choisissez également la fréquence à laquelle vous serez interrogé pour rechercher de nouveaux événements de corrélation qui correspondent à la configuration du profil.

    En tant qu’utilisateur doté du rôle sn_si.admin, vous configurez ces intervalles d’interrogation pour chaque profil. Les différents intervalles d’interrogation peuvent affecter les performances de l’intégration ArcSight ESM de l’ingestion d’événements de corrélation. Lors de la planification, vous préférerez peut-être trouver un équilibre entre la réduction de la surcharge d’interrogation sur le serveur et le ArcSight ESM désir d’être averti dès que possible lorsqu’un événement est créé ou mis à jour. Une valeur par défaut de cinq minutes est définie pour n’importe quel profil, mais vous préférerez peut-être modifier ce paramètre à une minute si nécessaire.

    Extraction d’événements de corrélation nouveaux et mis à jour

    Procédure

    1. Si la page Planification de la barre de progression ne s’affiche pas, sélectionnez Planification.
    2. Choisissez-en un pour planifier comment et quand les événements de corrélation sont extraits de la console <ArcSight>.
      OptionDescription
      • Champ Ingestion d’événements en cours sélectionné
      • Champ de récupération ponctuelle effacé
      		 Événement en cours

      En fonction du paramètre par défaut, l’instance Now Platform extrait du ArcSight ESM serveur de nouveaux événements de corrélation toutes les cinq minutes. Les incidents de sécurité sont créés si des événements de corrélation sont trouvés et si les critères de filtrage de génération d’incidents correspondent. Pour équilibrer les frais généraux d’interrogation d’ingestion afin d’obtenir les données les plus récentes, cinq minutes est le paramètre par défaut. Toutefois, cette valeur peut être modifiée jusqu’à une minute si nécessaire.
      • Champ Ingestion des événements en cours effacé
      • Champ de récupération ponctuelle sélectionné
      		 Récupération ponctuelle

      Utilisez cette configuration si vous souhaitez qu’une transmission par pull unique ingère des événements de corrélation historiques.

      Lorsque ce paramètre est configuré, un profil est utilisé une seule fois pour récupérer des événements de corrélation à partir d’événements historiques basés sur une plage de dates. À droite du champ Date de depuis, cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire des alertes. À partir de la valeur Date de début, les événements de corrélation sont récupérés jusqu’à la date actuelle.

      Notez que vous pouvez récupérer des événements jusqu’à sept jours en arrière à partir de la date actuelle. Cette fonctionnalité n’est pas destinée à récupérer des quantités importantes d’événements historiques à des fins d’archivage, mais plutôt une quantité minimale d’événements en cours qui sont activement utilisés au moment de l’activation du profil.

      Une fois les événements de corrélation extraits, ce paramètre ne récupère pas d’autres événements de corrélation pour ce profil à partir de la date actuelle. Ce paramètre remplit l’incident de sécurité avec tous les événements de corrélation trouvés pour la plage que vous saisissez.

      ArcSight ESM : créer un profil : planifier

      Par exemple, pour planifier une heure d’ingestion d’un événement de corrélation initial, si vous avez une vérification de sécurité quotidienne ArcSight ESM qui s’exécute une fois par jour à 4 h (heure locale), vous pouvez configurer le profil d’événement de corrélation correspondant dans votre Now Platform instance pour qu’il s’exécute à 4 h 05, heure locale, afin de capturer immédiatement l’événement d’échec de sécurité et créer un incident de sécurité. Entrez 04 05 00 dans le champ Ingestion de l’événement initial. Dans le champ Incrémentation (minutes), saisissez 1 440 (24 heures) pour planifier la prochaine ingestion d’événement pendant 24 heures à compter de l’ingestion d’événement initiale. Les heures d’ingestion d’événements initiales et suivantes sont affichées dans les champs.

    3. Pour configurer les paramètres de cet exemple, procédez comme suit.
      1. Avec la page Planification affichée, cochez la case Ingestion d’événements en cours pour activer cette option.
      2. Dans le champ Incrémentation (minutes), saisissez 1 440 (24 heures).
      3. Cochez la case Définir le délai d’intégration d’événements corrélés initiaux pour activer la modification des champs Ingestion d’événements initial et Ingestion d’événements suivants.
      4. Dans le champ Délai d’ingestion de l’événement initial, saisissez 04 05 00.
        Le champ Délai d’ingestion de l’événement suivant (estimé) affiche l’heure de l’ingestion de l’événement suivant.
    4. Cliquez sur Continuer pour accéder à la page Options supplémentaires.
      Remarque :
      Le nombre par défaut d’incidents de sécurité qui peuvent être créés et agrégés en une journée, ainsi que la période de flux sont définis dans les paramètres d’intégration ArcSight ESM . Vous pouvez modifier ces paramètres si nécessaire. Consultez ArcSight ESM Paramètres d’intégration pour l’intégration de l’ingestion d’événements pour en savoir plus.