Créer un calendrier pour ArcSight ESM l’ingestion d’événements

Rversion finale: Xanadu

Mis à jour 1 août 2024

4 minutes de lecture

Vous pouvez définir le calendrier d’interrogation ou d’extraction pour les nouveaux événements corrélés. Au cours de cette étape, vous pouvez vérifier les paramètres existants pour la récupération d’événements de corrélation ou modifier la planification selon vos besoins. Cette étape vous permet également de récupérer des événements de corrélation historiques à l’aide d’une plage de dates.

Avant de commencer

Rôle requis : sn_si.admin.

Pourquoi et quand exécuter cette tâche

Vous pouvez choisir d’ingérer des événements de corrélation historiques au cours de l’étape de planification. Vous choisissez également la fréquence à laquelle vous souhaitez interroger les futurs nouveaux événements de corrélation qui correspondent à la configuration du profil.

En tant qu’utilisateur disposant du rôle sn_si.admin, vous configurez ces intervalles d’interrogation pour chaque profil. Les performances de l’intégration d’ingestion ArcSight ESM d’événements de corrélation peuvent être impactées par les différents intervalles d’interrogation. Lors de la planification, vous préférerez peut-être trouver un équilibre entre la réduction de la surcharge d’interrogation sur le serveur et le ArcSight ESM désir d’être averti dès que possible lorsqu’un événement est créé ou mis à jour. Une valeur par défaut de cinq minutes est définie pour n’importe quel profil, mais vous préférerez peut-être modifier ce paramètre à une minute si nécessaire.

Extraction d’événements de corrélation nouveaux et mis à jour

Procédure

Si la page Planification de la barre de progression n’est pas affichée, sélectionnez Planification.

Choisissez-en un pour planifier comment et quand les événements de corrélation sont extraits de la console <ArcSight>.

Option	Description
Champ d’ingestion d’événement en cours sélectionné Champ de récupération ponctuelle effacé	Événement en cours En fonction du paramètre par défaut, l’instance Now Platform effectue une extraction du serveur pour de ArcSight ESM nouveaux événements de corrélation toutes les cinq minutes. Les incidents de sécurité sont créés si des événements de corrélation sont trouvés et si les critères de filtrage de génération d’incident sont respectés. Pour équilibrer les frais généraux d’interrogation d’ingestion afin d’obtenir les données les plus récentes, le paramètre par défaut est de cinq minutes. Toutefois, cette valeur peut être modifiée jusqu’à une minute si nécessaire.
Champ d’ingestion d’événement en cours vide Champ de récupération ponctuelle sélectionné	Récupération ponctuelle Utilisez cette configuration si vous souhaitez une transmission par pull unique pour ingérer des événements de corrélation historiques. Lorsque ce paramètre est configuré, un profil est utilisé une fois pour récupérer des événements de corrélation à partir d’événements historiques basés sur une plage de dates. À droite du champ Depuis date, cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire les alertes. À partir de la valeur Date de début, les événements de corrélation sont récupérés jusqu’à la date actuelle. Notez que vous pouvez récupérer des événements jusqu’à sept jours en arrière à partir de la date actuelle. Cette fonctionnalité n’est pas destinée à récupérer des quantités importantes d’événements historiques à des fins d’archivage, mais plutôt une quantité minimale d’événements en cours qui sont activement traités au moment de l’activation du profil. Une fois les événements de corrélation extraits, ce paramètre ne récupérera pas d’autres événements de corrélation pour ce profil à partir de la date actuelle. Ce paramètre remplit l’incident de sécurité avec tous les événements de corrélation qui sont trouvés pour la plage que vous saisissez.

Option

Description

Champ d’ingestion d’événement en cours sélectionné
Champ de récupération ponctuelle effacé

Événement en cours

En fonction du paramètre par défaut, l’instance Now Platform effectue une extraction du serveur pour de ArcSight ESM nouveaux événements de corrélation toutes les cinq minutes. Les incidents de sécurité sont créés si des événements de corrélation sont trouvés et si les critères de filtrage de génération d’incident sont respectés. Pour équilibrer les frais généraux d’interrogation d’ingestion afin d’obtenir les données les plus récentes, le paramètre par défaut est de cinq minutes. Toutefois, cette valeur peut être modifiée jusqu’à une minute si nécessaire.

Champ d’ingestion d’événement en cours vide
Champ de récupération ponctuelle sélectionné

Récupération ponctuelle

Utilisez cette configuration si vous souhaitez une transmission par pull unique pour ingérer des événements de corrélation historiques.

Lorsque ce paramètre est configuré, un profil est utilisé une fois pour récupérer des événements de corrélation à partir d’événements historiques basés sur une plage de dates. À droite du champ Depuis date, cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire les alertes. À partir de la valeur Date de début, les événements de corrélation sont récupérés jusqu’à la date actuelle.

Notez que vous pouvez récupérer des événements jusqu’à sept jours en arrière à partir de la date actuelle. Cette fonctionnalité n’est pas destinée à récupérer des quantités importantes d’événements historiques à des fins d’archivage, mais plutôt une quantité minimale d’événements en cours qui sont activement traités au moment de l’activation du profil.

Une fois les événements de corrélation extraits, ce paramètre ne récupérera pas d’autres événements de corrélation pour ce profil à partir de la date actuelle. Ce paramètre remplit l’incident de sécurité avec tous les événements de corrélation qui sont trouvés pour la plage que vous saisissez.

Par exemple, pour planifier un temps d’ingestion d’un événement de corrélation initial, si vous avez un contrôle de sécurité quotidien ArcSight ESM qui s’exécute une fois par jour à 4 h (heure locale), vous pouvez configurer le profil d’événement de corrélation correspondant dans votre Now Platform instance pour qu’il s’exécute à 4 h 05 (heure locale) afin de capturer immédiatement l’événement de défaillance de sécurité et créer un incident de sécurité. Entrez 04 05 00 dans le champ Ingestion de l’événement initial. Dans le champ Incrémentation (minutes), saisissez 1 440 (24 heures) pour planifier la prochaine ingestion d’événement pendant 24 heures à compter de l’ingestion d’événement initiale. L’heure d’ingestion de l’événement initial et l’heure d’ingestion de l’événement suivant sont affichées dans les champs.

Pour configurer les paramètres de cet exemple, procédez comme suit.
1. Une fois la page Planification affichée, cochez la case Ingestion d’événements en cours pour activer cette option.
2. Dans le champ Incrémentation (minutes), saisissez 1 440 (24 heures).
3. Cochez la case Définir le délai d’ingestion de l’événement initial corrélé pour activer la modification des champs d’ingestion d’événement initial et d’ingestion d’événement suivant.
4. Dans le champ Délai d’ingestion de l’événement initial, saisissez 04 05 00.
  Dans le champ Délai d’ingestion de l’événement suivant (estimé), l’heure de l’ingestion de l’événement suivante s’affiche.
Cliquez sur Continuer pour accéder à la page Options supplémentaires.

Remarque :
Le nombre par défaut d’incidents de sécurité qui peuvent être créés et agrégés en une journée, ainsi que la période de temps du flux sont définis dans les paramètres d’intégration ArcSight ESM . Vous pouvez modifier ces paramètres si nécessaire. Consultez ArcSight ESM Paramètres d’intégration pour l’intégration de l’ingestion d’événements pour en savoir plus.