Créer des mappages pour ArcSight ESM l’intégration de l’ingestion d’événements

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 10 minutes de lecture

    • Au cours de cette étape, vous ingérez des échantillons d’événements de corrélation et mappez les valeurs aux champs d’incident de sécurité SIR.

    Avant de commencer

    Rôle requis : admin, sn_si.admin

    Pourquoi et quand exécuter cette tâche

    En tant qu’utilisateur disposant du rôle sn_si.admin, vous pouvez examiner jusqu’à cinq exemples d’événements de corrélation à partir de la colonne Ingestion d’échantillons d’événements de corrélation à gauche du formulaire pour aider au mappage et à la traduction des valeurs de champ d’événement avec les champs d’incident de sécurité dans la colonne Mappage de champ d’incident SIR à droite.

    Créez des mappages personnalisés en ajoutant ou en supprimant les champs de la grille de mappage sur le côté droit du formulaire. Les champs affichés par défaut sont généralement des champs importants à renseigner sur le formulaire de réponse aux incidents de sécurité. Toutefois, ces champs peuvent être supprimés et tous les champs supplémentaires peuvent être affichés à l’aide des boutons + et -. Créez des cartes personnalisées en ajoutant ou en supprimant les champs de la grille de mappage sur le côté droit du formulaire. La personnalisation des champs vous permet de mapper ArcSight ESM des champs qui ne sont pas affichés sur la grille de mappage par défaut sur l’incident de sécurité.

    Procédure

    1. Si le formulaire de mappage n’est pas affiché, cliquez sur Mappage dans la barre de progression.
    2. Vous pouvez soit extraire les échantillons d’événements de corrélation les plus récents pour la règle de corrélation sélectionnée, soit fournir les ID d’événements de corrélation uniques pour les événements de corrélation spécifiques que vous souhaitez utiliser pour votre expérience de mappage d’événements de corrélation.
    3. Dans la liste déroulante, sélectionnez l’une des options suivantes :
      • Récupérer les événements de corrélation les plus récents
      • Sélectionner les événements de corrélation basés sur l’ID d’événement

      Cliquez sur Récupérer les événements pour extraire les derniers exemples d’événements de corrélation de la ArcSight ESM console pour la règle de recherche de corrélation sélectionnée.

      Les champs d’événements de corrélation et les résultats des valeurs sont affichés sous forme d’onglets individuels.

      L’extraction d’événements de corrélation d’échantillons peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran.

      Dans la figure suivante, les paires de valeurs de nom de champ pour l’événement de corrélation ingéré, ou les échantillons d’événements importés, sont affichées sur le côté gauche de ce formulaire une fois l’extraction d’ingestion terminée. Ces valeurs sont les valeurs que vous mappez aux champs d’incident de sécurité du côté Mappage de champs d’incident SIR du formulaire.


      ArcSight ESM : créer un profil : récupérer des événements
    4. Pour mapper une valeur de champ du côté gauche du formulaire à un champ de l’incident de sécurité sur le côté droit du formulaire, cliquez longuement sur un nom de champ bleu sur le côté gauche du formulaire.
    5. Faites glisser le nom du champ, par exemple agent.hostname, et déposez-le sur un champ de la colonne Expression d’entrée en regard d’un nom de champ dans la colonne Incident de sécurité.

      Pour vous assurer qu’aucun champ d’événement n’est négligé ou dupliqué dans le processus de mappage, les champs sont codés par couleur. Les champs bleu clair sur la gauche indiquent qu’un champ d’événement de corrélation n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférez peut-être associer un champ de corrélation entrant à plusieurs champs sur un incident de sécurité.

      Un champ gris indique qu’un champ a été sélectionné et mappé à un champ sur l’incident de sécurité. Ce code couleur vous aide à suivre les champs d’événement qui ont déjà été utilisés pour les futurs mappages de champs d’incidents de sécurité.


      ArcSight ESM : créer un profil : faire glisser
    6. Pour ajouter des champs aux champs par défaut affichés sur l’incident de sécurité sur le côté droit du formulaire, procédez comme suit.
      1. À droite du formulaire, dans la section Mappage des champs d’incidents SIR, en bas de la grille, cliquez sur l’icône plus.
        Un nouveau champ s’affiche.
      2. Dans la colonne Incident de sécurité, développez la liste de choix qui s’affiche, puis sélectionnez un champ.

        Dans la liste de choix développée pour le nouveau champ, certains champs sont grisés. Dans la figure suivante, l’utilisateur affecté a un arrière-plan gris, car il a été mappé dans l’incident de sécurité. À l’instar du code couleur pour les champs d’événements de corrélation sur le côté gauche du formulaire, ce code couleur pour les champs d’incident de sécurité sur la droite vous aide à suivre les champs d’incident SIR déjà mappés.


        ArcSight ESM : créer un profil : champs gris
        Remarque :
        Afin que plusieurs observables puissent être affichés sur le même incident de sécurité, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Élément de configuration et Notes de travail prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, lorsque vous prévisualisez l’incident, un message d’erreur s’affiche indiquant qu’il n’y a aucune valeur pour le champ. De même, si un champ d’un incident de sécurité dispose d’une liste de choix dans laquelle vous pouvez choisir plusieurs options, et que vous essayez de mapper une option à ce champ qui n’est pas affiché dans la liste de choix, le champ n’est pas renseigné sur l’incident de sécurité.
      3. Vous pouvez également saisir une valeur dans le champ Rechercher pour la nouvelle ligne.
      4. Sur le côté gauche du formulaire, cliquez avec le bouton gauche de la souris pour sélectionner l’ID d’événement souhaité dans le champ expression d’entrée .
        Grâce à la fonction glisser-déposer, mappez-le à côté de votre nouveau champ.
    7. Facultatif : Ouvrez l’éditeur de script et poursuivez la modification.

      Pour plus d’informations sur l’éditeur de script, reportez-vous à la section Utiliser l’éditeur de script pour formater les valeurs d’événements de corrélation pour ArcSight ESM l’intégration.Conditions de filtrage de génération d’incidents

    8. Facultatif : Une fois que vous avez terminé les étapes de mappage de champs précédentes, vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération d’incidents pour définir les critères supplémentaires qu’un événement de corrélation entrant doit satisfaire pour créer un SIR incident de sécurité.
      Pour définir les conditions de génération d’incidents, procédez comme suit.
      1. Faites défiler l’écran jusqu’à la section Conditions de génération d’incidents du formulaire et cochez la case Filtre basé sur les conditions pour activer l’option.

        Le Créateur de conditions de filtre s’affiche. Utilisez ces filtres pour créer des incidents de sécurité qui correspondent aux conditions spécifiques décrites dans les champs.

        Les options des listes de choix pour le premier champ du générateur de conditions de filtre correspondent aux champs affichés dans la section Ingestion d’échantillons d’événements de corrélation pour les événements que vous avez ingérés. Ces champs sont dynamiques et changent en fonction des événements de corrélation que vous ingérez. Les critères que vous saisissez sont sensibles à la casse et doivent correspondre exactement aux valeurs de l’événement ArcSight ESM de corrélation.

        À l’aide des listes de choix et des champs du générateur de conditions, définissez des filtres pour la première ligne.

      2. Pour ajouter d’autres conditions, à droite des champs, cliquez sur ET ou OU.
        Si ET est sélectionné, toutes les conditions doivent être mises en correspondance. Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
      3. Facultatif : Dans la deuxième ligne, définissez une deuxième condition de filtre.

        L’image suivante est un exemple avec deux conditions qui doivent être mises en correspondance avant la création des incidents de sécurité.


        ArcSight ESM : créer un profil : filtrer avec des conditions correspondantes

        Vous avez défini les conditions de génération d’incident de sorte que les incidents de sécurité ne soient créés que lorsque les deux conditions de filtrage que vous avez saisies correspondent.

        Ce type de filtrage des conditions de génération d’incident vous permet d’affiner les événements de sécurité et de limiter le nombre d’incidents de sécurité inutiles que vous créez sans modifier la recherche de corrélation sous-jacente ni filtrer les événements dans ArcSight ESM. Si des critères de filtrage supplémentaires sont définis, seuls les événements de corrélation qui correspondent à tous les critères sont mappés aux incidents.

        Remarque :
        Si l’un des noms de champs d’événements comporte des caractères spéciaux tels que des guillemets (« ), des traits d’union ('), des traits de soulignement (-) ou des esperluettes (@), il peut être nécessaire de remplacer ces caractères à des fins de traduction de mappage et éventuellement de créer un nom d’événement en double. Le mappage peut être effectué correctement, mais un suffixe numérique est ajouté pour différencier les champs avec des noms d’événements en double. Par exemple, si le premier champ d’événement est events.event et que le second champ d’événement est events.event, ces champs ne peuvent pas être identifiés de manière unique car les caractères de texte standard restants sont les mêmes. Dans ce cas, un suffixe est ajouté au deuxième champ d’événement et le champ est renommé en events@event(1).
      Critères d’agrégation d’événements pour traiter des événements de corrélation similaires et empêcher les incidents en double
    9. Facultatif : Pour éviter de créer des incidents de sécurité en double, définissez des critères d’agrégation d’événements supplémentaires afin que les événements de corrélation entrants soient agrégés en un incident de sécurité ouvert.
      Pour définir les critères, procédez comme suit :
      1. Faites défiler la page jusqu’à la section Critères d’agrégation d’événements du formulaire et cochez la case Conditions d’agrégation pour activer cette option.

        Les colonnes Incident Field Matching Values (Valeurs correspondantes du champ d’incident) s’affichent. Ces noms de champs sont les champs de l’incident de sécurité qui incluent tous les champs personnalisés configurés dans l’incident SIR de sécurité.

      2. Dans la liste Disponible, sélectionnez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans votre Now Platform et déplacez-les vers la liste Sélectionné.

        Toutes les valeurs de champ que vous sélectionnez doivent être mises en correspondance pour ajouter cet événement de corrélation entrant à un incident de sécurité existant. Cela inclut les champs, tels que les observables et les éléments de configuration, auxquels plusieurs valeurs de champ d’événement de corrélation peuvent être mappées. Toutes les valeurs doivent correspondre. Si seul un sous-ensemble de valeurs est mis en correspondance, les conditions d’agrégation d’événements ne sont pas remplies et un nouvel incident de sécurité est créé. Voir la capture d’écran ci-dessous pour le mappage de champs à valeurs multiples.


        ArcSight ESM : créer un profil : regrouper
        Si un nouvel événement de corrélation correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation de l’étape de mappage, le nouvel événement de corrélation est automatiquement ajouté au dernier incident de sécurité ouvert avec les mêmes valeurs de champ. En tant qu’analyste SOC travaillant sur des incidents de sécurité, vous pouvez afficher tous les événements de corrélation agrégés ajoutés dans une liste connexe d’un incident de sécurité. Tous les événements de corrélation agrégés sur un incident de sécurité sont affichés dans la liste connexe Agrégatd ArcSight Events . Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi ces événements de corrélation sont regroupés aux incidents de sécurité existants. Si cet onglet n’est pas affiché, faites défiler vers la gauche de l’enregistrement sous Liens connexes et cliquez sur le lien Afficher toutes les listes connexes .
        Remarque :
        Si cette liste connexe n’est pas visible, procédez comme suit :
        • Cliquez avec le bouton droit sur l’en-tête du formulaire Incident de sécurité, puis cliquez sur Configurer > Listes connexes.
        • Sélectionnez Aggregated ArcSight Events (Événements ArcSight agrégés ) dans la liste Available (Disponible), déplacez-le vers Selected list (Sélectionné), puis cliquez sur Save (Enregistrer).
        • Cliquez sur Afficher les listes connexes. Vous verrez maintenant l’onglet Agrégatd ArcSight Events (Événements ArcSight agrégés ) dans la section Related List (Liste connexe).

        ArcSight ESM : événements agrégés
      3. Facultatif : Pour consigner une note de travail chaque fois qu’un événement est agrégé sur l’incident de sécurité, cochez la case pour activer cette option.
        La note de travail indique qu’un nouvel événement corrélé a été ajouté, ainsi qu’un lien vers les détails de l’événement corrélé.
      Vous avez mappé avec succès les valeurs d’un événement de corrélation aux champs d’un SIR incident de sécurité. En outre, vous avez configuré des conditions supplémentaires pour limiter la création d’incidents de sécurité avec des critères de filtrage de génération d’incidents. Vous avez également agrégé des événements de corrélation à des incidents de sécurité existants SIR lorsque les valeurs de champ d’événement correspondent aux critères d’agrégation configurés.
    10. Choisissez-en un pour poursuivre la configuration du profil.
      OptionDescription
         
      Continuer Le formulaire de mappage s’affiche.

      L’aperçu est sélectionné dans la barre de progression. L’étape suivante consiste à prévisualiser les champs que vous avez mappés sur un SIR incident de sécurité.
      Mettre à jour Vos données sont enregistrées et la liste des profils d’événements s’affiche ArcSight ESM .
      Précédent Le formulaire Sélection d’événement de corrélation s’affiche.
      Supprimer Supprimez ce profil d’événement et la liste des profils d’événements s’affiche.