Créer un profil pour ArcSight ESM l’intégration de l’ingestion d’événements de corrélation
En tant qu’utilisateur ayant le rôle sn_si.admin, vous créez un profil dans votre Now Platform instance et déterminez quels événements de corrélation créent des incidents de sécurité. Avant Now Platform Réponse aux incidents de sécurité que (SIR) les incidents de sécurité ne soient créés à partir d’événements de corrélation, les valeurs de champ des événements sont affichées sur une mise en page d’un Now Platform incident de sécurité afin que vous puissiez prévisualiser la façon dont l’incident de sécurité réel sera créé.
Avant de commencer
Pourquoi et quand exécuter cette tâche
Les événements de corrélation sont automatiquement ingérés dans l’environnement Security Operations de votre Now Platform instance en fonction du type de profil défini. Un profil est une encapsulation d’un type d’événement de corrélation comme les tentatives d’accès non autorisé ou les programmes malveillants.
Une fois qu’un événement de corrélation a été ingéré, vous pouvez mapper les champs d’événement de corrélation individuels aux champs correspondants dans l’incident de sécurité. Vous pouvez filtrer les événements de corrélation pour spécifier quels événements créent des incidents de sécurité. Par exemple, vous pouvez préférer les filtres qui créent des incidents de sécurité uniquement pour les événements de corrélation identifiés comme présentant un risque élevé. Vous pouvez également définir des critères d’agrégation d’événements supplémentaires afin que les événements de corrélation entrants en double soient agrégés dans un incident de sécurité ouvert. Enfin, vous pouvez définir un calendrier d’ingestion et activer le profil.
Les noms des profils d’événements de votre Now Platform instance doivent être uniques et ne peuvent être mappés qu’à un seul profil d’événement actif à un moment donné.