ArcSight ESM 相関イベントの取り込み統合のためのプロファイルの作成
sn_si.admin ロールを持つユーザーは、Now Platform インスタンスにプロファイルを作成し、どの相関イベントでセキュリティインシデントが作成されるかを決定します。Now Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントが相関イベントから作成される前に、イベントのフィールド値が Now Platform セキュリティインシデントのレイアウトに表示されるため、実際のセキュリティインシデントがどのように作成されるかをプレビューできます。
始める前に
このタスクについて
定義されたプロファイルタイプに応じて、相関イベントが Now Platform インスタンスの Security Operations 環境に自動的に取り込まれます。プロファイルは、不正なアクセス試行やマルウェアといった 1 つのタイプの相関イベントをカプセル化したものです。
相関イベントが取り込まれた後、個々の相関イベントフィールドをセキュリティインシデントの対応するフィールドにマップできます。相関イベントをフィルタリングして、セキュリティインシデントを作成するイベントを指定できます。たとえば、高リスクとして識別された相関イベントに対してのみセキュリティインシデントを作成するフィルターを使用できます。追加のイベント集計条件を定義して、受信する重複相関イベントをオープンセキュリティインシデント別に集計することもできます。最後に、取り込みスケジュールを定義し、プロファイルをアクティブ化することができます。
Now Platform インスタンス内のイベントプロファイルの名前は一意である必要があり、常に 1 つのアクティブなイベントプロファイルにのみマッピングできます。