Mappage des champs d’événement de corrélation pour l’intégration d’ingestion d’événements ArcSight ESM

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Une fois que vous avez identifié la règle d’événement de corrélation spécifique dans la liste, l’étape suivante consiste à mapper les champs d’événement de corrélation aux champs du formulaire d’incident de sécurité.

    Vue d'ensemble

    Pour l’étape de mappage, vous pouvez ingérer des exemples d’événements de corrélation pour la règle de corrélation sélectionnée. Au cours de cette phase de mappage, vous pouvez vous assurer que toutes les données de champ d’événement de corrélation pertinentes sont mappées à l’endroit approprié sur le formulaire d’incident SIR , puis visualiser l’incident SIR dans la section d’aperçu.

    La figure suivante montre la configuration de mappage par défaut fournie pour créer le profil d’événement de corrélation. Vous pouvez personnaliser les champs qui renseignent l’incident de sécurité.
    ArcSight ESM : créer un profil : carte par défaut

    Lorsque vous cliquez sur Récupérer les événements, les noms des champs d’événements de corrélation et les valeurs correspondantes sont renseignés sur le côté gauche du formulaire. Il s’agit des champs d’événement ArcSight ESM de corrélation qui peuvent être mappés aux champs d’incident de sécurité.

    Vous préférez peut-être examiner quelques échantillons d’événements de corrélation sur votre console à ingérer pour l’étape de configuration du mappage de champ. Cette étape est étiquetée Mappage dans la barre de progression. Si cette page n’est pas affichée, cliquez sur Mappage dans la barre de progression. Vous pouvez ingérer jusqu’à cinq échantillons d’événements de corrélation à partir ArcSight ESM du gestionnaire pour la règle de corrélation sélectionnée afin de faciliter le processus de mappage de champ. Il existe des options permettant soit d’ingérer les cinq événements de corrélation les plus récents pour l’événement de corrélation sélectionné, soit d’ingérer jusqu’à cinq événements de corrélation spécifiques en fonction des ID d’événements.

    Vous trouvez ci-dessous un résumé des étapes requises pour mapper des événements de corrélation :
    • Mappage de champs : modifiez la configuration de mappage en faisant glisser les champs d’événements de corrélation du côté gauche et en les déposant dans la section de mappage d’incidents SIR à droite. Le mappage sur la droite associe le champ d’événement de corrélation entrant à un champ d’incident de sécurité sortant.
    • Expérience de mappage : personnalisez la grille de mappage en ajoutant ou en supprimant des champs à l’aide de l’icône + située en bas de la section de mappage des champs d’incidents SIR. Suivez les champs négligés ou précédemment mappés avec le code couleur fourni (les champs mappés sont grisés, les champs bleus ne sont pas mappés).
    • Conditions de génération d’incidents : une fois la section de mappage terminée, vous pouvez définir des conditions de filtre afin de filtrer les événements de corrélation qui doivent créer des incidents de sécurité par rapport aux événements de corrélation qui doivent être filtrés, par exemple, les événements de corrélation de faible priorité. Cette opération est effectuée dans la section Conditions de génération d’incidents située sous la section Ingestion d’échantillons d’événements de corrélation.
    • Critères d’agrégation d’événements : définissez des critères d’agrégation d’événements supplémentaires qui regroupent un événement de corrélation entrant à un incident de sécurité existant SIR au lieu de créer des incidents similaires, potentiellement en double. En utilisant des critères de correspondance de valeur de champ pour chaque profil, cette option d’agrégation supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données d’événement notables de sécurité connexes sur un seul incident de sécurité.
    • Formater la traduction du champ : dans certains cas, les valeurs des champs d’événement dans l’événement ArcSight ESM de corrélation peuvent ne pas être directement traduites dans les champs de l’incident SIR de sécurité. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez formater des valeurs similaires, mais pas identiques.

      Par exemple, avec l’éditeur de script, une valeur de catégorie Alerte de programme malveillant et Infection par un virus peut avoir des valeurs de champ différentes pour la catégorie source, mais les deux valeurs peuvent être traduites en une activité de code malveillant commune dans le champ Catégorie de l’incident de sécurité à l’aide de la SIR fonctionnalité Formater la traduction du champ.

    L’étape suivante consiste à ingérer des exemples d’événements de corrélation et à mapper les valeurs aux champs d’incident SIR de sécurité.