Créer un profil pour ArcSight ESM l’intégration de l’ingestion d’événements de corrélation
En tant qu’utilisateur disposant du rôle sn_si.admin, vous créez un profil dans votre Now Platform instance et déterminez quels événements de corrélation créent des incidents de sécurité. Avant Now Platform Réponse aux incidents de sécurité que les incidents de sécurité (SIR) ne soient créés à partir d’événements de corrélation, les valeurs de champ des événements sont affichées sur la mise en page d’un Now Platform incident de sécurité afin que vous puissiez prévisualiser la façon dont l’incident de sécurité réel sera créé.
Avant de commencer
Pourquoi et quand exécuter cette tâche
Les événements de corrélation sont automatiquement ingérés dans l’environnement Opérations de sécurité de votre Now Platform instance en fonction du type de profil défini. Un profil est l’encapsulation d’un type d’événement de corrélation, comme les tentatives d’accès non autorisé ou les programmes malveillants.
Une fois qu’un événement de corrélation a été ingéré, vous pouvez mapper les champs d’événement de corrélation individuels aux champs correspondants dans l’incident de sécurité. Vous pouvez filtrer les événements de corrélation pour spécifier quels événements créent des incidents de sécurité. Par exemple, vous pouvez préférer les filtres qui créent des incidents de sécurité uniquement pour les événements de corrélation identifiés comme à haut risque. Vous pouvez également définir des critères d’agrégation d’événements supplémentaires afin que les événements de corrélation entrants en double soient agrégés en un incident de sécurité ouvert. Enfin, vous pouvez définir un calendrier d’ingestion et activer le profil.
Les noms des profils d’événements dans votre Now Platform instance doivent être uniques et ne peuvent être mappés qu’à un profil d’événement actif à la fois.