Mappage des champs d’événements de corrélation pour l’intégration de l’ingestion d’événements ArcSight ESM
Une fois que vous avez identifié la règle d’événement de corrélation spécifique dans la liste, l’étape suivante consiste à mapper les champs d’événements de corrélation aux champs du formulaire d’incident de sécurité.
Vue d'ensemble
Pour l’étape de mappage, vous pouvez ingérer des exemples d’événements de corrélation pour la règle de corrélation sélectionnée. Au cours de cette phase de mappage, vous pouvez vous assurer que toutes les données de champ d’événement de corrélation pertinentes sont mappées à l’emplacement approprié sur le formulaire d’incident SIR , puis visualiser l’incident SIR dans la section d’aperçu.
Lorsque vous cliquez sur Récupérer des événements, les noms des champs d’événements de corrélation et les valeurs correspondantes sont renseignés sur le côté gauche du formulaire. Il s’agit des champs d’événements ArcSight ESM de corrélation qui peuvent être mappés aux champs d’incident de sécurité.
Vous préférez peut-être examiner quelques exemples d’événements de corrélation sur votre console à ingérer pour l’étape de configuration du mappage de champs. Cette étape s’intitule Mappage dans la barre de progression. Si cette page n’est pas affichée, cliquez sur Mappage dans la barre de progression. Vous pouvez ingérer jusqu’à cinq échantillons d’événements ArcSight ESM de corrélation à partir du gestionnaire pour la règle de corrélation sélectionnée afin d’aider au processus de mappage de champs. Il existe des options permettant soit d’ingérer les cinq événements de corrélation les plus récents pour l’événement de corrélation sélectionné, soit d’ingérer jusqu’à cinq événements de corrélation spécifiques en fonction des ID d’événement.
- Mappage de champs : modifiez la configuration du mappage en faisant glisser les champs d’événements de corrélation du côté gauche et en les déposant dans la section de mappage des SIR incidents située à droite. Le mappage sur la droite associe le champ d’événement de corrélation entrant à un champ d’incident de sécurité sortant.
- Expérience de mappage : personnalisez la grille de mappage en ajoutant ou en supprimant des champs à l’aide de l’icône + en bas de la section de mappage de champs d’incidents SIR. Suivez les champs négligés ou précédemment mappés avec le code couleur fourni (les champs mappés sont grisés, les champs bleus ne sont pas mappés).
- Conditions de génération d’incidents : une fois la section de mappage terminée, vous pouvez définir des conditions de filtre afin de filtrer les événements de corrélation qui doivent créer des incidents de sécurité par rapport aux événements de corrélation qui doivent être filtrés (par exemple, les événements de corrélation de faible priorité). Pour ce faire, consultez la section Conditions de génération d’incidents située sous la section Ingestion d’échantillons d’événements de corrélation.
- Critères d’agrégation d’événements : définissez des critères d’agrégation d’événements supplémentaires qui regroupent un événement de corrélation entrant en un incident de sécurité existant SIR au lieu de créer des incidents similaires et potentiellement dupliqués. En utilisant des critères de valeur de correspondance de champ pour chaque profil, cette option d’agrégation supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données relatives aux événements notables de sécurité connexes sur un seul incident de sécurité.
- Formater la traduction du champ : dans certains cas, les valeurs de champ d’événement dans l’événement ArcSight ESM de corrélation peuvent ne pas se traduire directement dans les champs de l’incident SIR de sécurité. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez mettre en forme des valeurs similaires, mais pas identiques.
Par exemple, avec l’éditeur de script, une valeur de catégorie Alerte de programme malveillant et Infection par un virus peut avoir des valeurs de champ différentes pour la catégorie source, mais les deux valeurs peuvent être traduites en une activité de code malveillant commune dans le champ Catégorie de l’incident SIR de sécurité à l’aide de la fonctionnalité Formater la traduction de champ.
L’étape suivante consiste à ingérer des échantillons d’événements de corrélation et à mapper les valeurs aux champs d’incident SIR de sécurité.