Créer et nommer le profil pour ArcSight ESM l’intégration de l’ingestion d’événements

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Vous pouvez configurer un profil pour ingérer des événements de corrélation.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Pour créer un profil d’événement pour un événement de corrélation dans votre Now Platform instance, accédez à Intégration d’ArcSight ESM > Profil d’événement ArcSight ESM.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs.

      Le tableau ci-dessous un exemple de formulaire rempli.

      ChampDescription
      Nom Nom unique pour le profil. Si les noms ne sont pas uniques, une erreur s’affiche et les noms de profil en double ne sont pas enregistrés.

      Les noms de profil dans votre Now Platform instance doivent être uniques.
      Actif La case heck est désactivée par défaut. Si cette option est désactivée, le profil n’est pas actif et l’ingestion n’a pas lieu.
      Remarque :
      Vous devez remplir toutes les sections du profil avant de l’activer.
      ArcSight Source Serveur ArcSight ESM configuré lors de l’étape d’authentification initiale. Si vous avez configuré plusieurs ArcSight ESM serveurs, sélectionnez le serveur approprié pour les types d’événements de corrélation qui seront ingérés pour le profil. Vous devez sélectionner une valeur.
      ID du visualiseur de requête Entrez l’ID de ressource de la visionneuse de requêtes configurée dans la ArcSight ESM console. L’ID de ressource est un identificateur unique pour toute visionneuse de requêtes configurée sur le serveur ArcSight ESM. Une fois l’ID de ressource soumis, le nom de la vue de requête est renvoyé pour s’assurer que la visionneuse de requêtes appropriée a été sélectionnée. Consultez la section ci-dessous pour obtenir une capture d’écran de la façon de déterminer l’ID de ressource pour la visionneuse de requêtes sélectionnée dans ArcSight ESM.
      Ordre La valeur par défaut est 100.

      Si vous avez créé plusieurs profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent les mêmes conditions de déclenchement. Le workflow du profil dont le numéro est le plus bas a la priorité la plus élevée.
      (Facultatif) Description Texte supplémentaire pour vous aider à distinguer ce profil des autres profils.
      La figure suivante est un exemple de formulaire rempli.
      Profil d’événement ArcSight : nom
      Une fois que vous avez saisi les détails du profil, cliquez sur Continuer. L’ID du visionneur de requêtes est validé et si un ID de ressource correspondant est présent dans la ArcSight ESM visionneuse de requêtes, le nom de la visionneuse de requêtes est renvoyé comme indiqué ci-dessous. Si la validation échoue, vérifiez si l’ID de ressource existe dans la ArcSight ESM console. Si l’ID de ressource est introuvable, recherchez l’ID de ressource correct et entrez-le dans le profil.
      Visionneuse de requêtes ArcSight

    Que faire ensuite

    L’étape suivante consiste à sélectionner les types d’événements de corrélation à ingérer dans la visionneuse de requêtes qui a été sélectionnée à l’étape précédente.