Créer un calendrier pour ArcSight ESM l’ingestion d’événements

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Vous pouvez définir la planification d’interrogation ou d’extraction pour les nouveaux événements corrélés. Au cours de cette étape, vous pouvez vérifier les paramètres existants pour la récupération de l’événement de corrélation ou modifier la planification si nécessaire. Cette étape vous permet également de récupérer les événements de corrélation historiques à l’aide d’une plage de dates.

    Avant de commencer

    Rôle requis : sn_si.admin.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez choisir d’ingérer des événements de corrélation historiques pendant l’étape de planification. Vous choisissez également la fréquence à laquelle vous interrogerez les nouveaux événements de corrélation futurs qui correspondent à la configuration du profil.

    En tant qu’utilisateur disposant du rôle sn_si.admin, vous configurez ces intervalles d’interrogation pour chaque profil. Les performances de l’intégration de l’ingestion ArcSight ESM d’événements de corrélation peuvent être impactées par les différents intervalles d’interrogation. Lors de la planification, vous préférerez peut-être trouver un équilibre entre la réduction de la surcharge d’interrogation sur le serveur et le ArcSight ESM désir d’être averti dès que possible lorsqu’un événement est créé ou mis à jour. Une valeur par défaut de cinq minutes est définie pour n’importe quel profil, mais vous préférez peut-être modifier ce paramètre à une minute si nécessaire.

    Extraction d’événements de corrélation nouveaux et mis à jour

    Procédure

    1. Si la page Planification de la barre de progression ne s’affiche pas, sélectionnez Planification.
    2. Choisissez-en un pour planifier comment et quand les événements de corrélation sont extraits de la console <ArcSight>.
      OptionDescription
      • Champ d’ingestion d’événements en cours sélectionné
      • Champ Récupération ponctuelle effacé
      		 Événement en cours

      En fonction du paramètre par défaut, l’instance Now Platform extrait du ArcSight ESM serveur de nouveaux événements de corrélation toutes les cinq minutes. Les incidents de sécurité sont créés si des événements de corrélation sont trouvés et que les critères de filtrage de génération d’incidents correspondent. Pour équilibrer le désir d’obtenir les données les plus récentes, le paramètre par défaut est de cinq minutes. Toutefois, cette valeur peut être réduite à une minute si nécessaire.
      • Champ d’ingestion de l’événement en cours effacé
      • Champ de récupération ponctuelle sélectionné
      		 Récupération ponctuelle

      Utilisez cette configuration si vous souhaitez une extraction ponctuelle pour ingérer des événements de corrélation historiques.

      Lorsque ce paramètre est configuré, un profil est utilisé une fois pour récupérer les événements de corrélation à partir d’événements historiques basés sur une plage de dates. À droite du champ Depuis la date, cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire des alertes. À partir de la valeur Depuis la date, les événements de corrélation sont récupérés jusqu’à la date actuelle.

      Notez que vous pouvez récupérer des événements jusqu’à sept jours en arrière à partir de la date actuelle. Cette fonctionnalité n’est pas destinée à récupérer un nombre important d’événements historiques pour des raisons d’archivage, mais plutôt un nombre minimal d’événements en cours qui sont activement traités au moment de l’activation du profil.

      Une fois les événements de corrélation extraits, ce paramètre ne récupère plus d’événements de corrélation pour ce profil à partir de la date actuelle. Ce paramètre renseigne l’incident de sécurité avec tous les événements de corrélation trouvés pour la plage que vous saisissez.

      ArcSight ESM : créer un profil : calendrier

      Par exemple, pour planifier un délai d’ingestion d’événement de corrélation initial, si vous avez un contrôle de sécurité quotidien ArcSight ESM qui s’exécute une fois par jour à 4 h (heure locale), vous pouvez configurer le profil d’événement de corrélation correspondant dans votre Now Platform instance pour qu’il s’exécute à 4 h 05, heure locale, afin de capturer immédiatement l’événement de défaillance de sécurité et de créer un incident de sécurité. Saisissez 04 05 00 dans le champ Ingestion de l’événement initial. Dans le champ Incrémentation (minutes), saisissez 1 440 (24 heures) pour planifier la prochaine ingestion d’événement pendant 24 heures à compter de l’ingestion d’événement initiale. Le délai d’ingestion de l’événement initial et l’heure d’ingestion de l’événement suivant sont affichés dans les champs.

    3. Pour configurer les paramètres de cet exemple, procédez comme suit.
      1. Une fois la page Planification affichée, cochez la case Ingestion d’événements en cours pour activer cette option.
      2. Dans le champ Incrémentation (minutes), saisissez 1 440 (24 heures).
      3. Cochez la case Définir le délai d’ingestion des événements corrélés initiaux pour activer la modification des champs Ingestion d’événement initial et Ingestion de l’événement suivant.
      4. Dans le champ Délai d’ingestion de l’événement initial, saisissez 04 05 00.
        Dans le champ Délai d’ingestion de l’événement suivant (estimé), l’heure de l’ingestion de l’événement suivant s’affiche.
    4. Cliquez sur Continuer pour accéder à la page Options supplémentaires.
      Remarque :
      Le nombre par défaut d’incidents de sécurité qui peuvent être créés et regroupés en une journée, ainsi que la période de flux sont définis dans les paramètres d’intégration ArcSight ESM . Vous pouvez modifier ces paramètres si nécessaire. Consultez ArcSight ESM Paramètres d’intégration pour l’intégration de l’ingestion d’événements pour en savoir plus.