이벤트 수집 통합을 위한 ArcSight ESM 상관 관계 이벤트 필드 매핑
목록에서 특정 상관관계 이벤트 규칙을 식별한 후 다음 단계는 상관관계 이벤트 필드를 보안 인시던트 양식의 필드에 매핑하는 것입니다.
상관 관계 이벤트 필드 매핑 개요
매핑 단계에서는 선택한 상관관계 규칙에 대한 샘플 상관관계 이벤트를 수집할 수 있습니다. 이 매핑 단계에서는 모든 관련 상관관계 이벤트 필드 데이터가 인시던트 양식의 SIR 적절한 위치에 매핑되었는지 확인한 다음 미리 보기 섹션에서 인시던트를 SIR 시각화할 수 있습니다.
이벤트 검색을 클릭하면 상관관계 이벤트 필드 이름과 해당 값이 양식 왼쪽에 채워집니다. ArcSight ESM 보안 인시던트 필드에 매핑할 수 있는 상관관계 이벤트 필드입니다.
콘솔에서 몇 가지 샘플 상관관계 이벤트를 검토하여 필드 매핑 구성 단계를 수집하는 것이 좋습니다. 이 단계는 진행률 표시줄에 매핑으로 표시됩니다. 이 페이지가 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다. 필드 매핑 프로세스를 지원하기 위해 선택한 상관관계 규칙에 대해 관리자에서 ArcSight ESM 샘플 상관관계 이벤트를 최대 5개까지 수집할 수 있습니다. 선택한 상관관계 이벤트에 대해 최근 상관관계 이벤트 5개를 수집하거나 이벤트 ID를 기반으로 최대 5개의 특정 상관관계 이벤트를 수집하는 옵션이 있습니다.
- 필드 매핑: 왼쪽에서 상관관계 이벤트 필드를 끌어 오른쪽의 인시던트 매핑 섹션에 SIR 놓아 매핑 구성을 편집합니다. 오른쪽의 매핑은 수신 상관관계 이벤트 필드를 발신 보안 인시던트 필드와 연결합니다.
- 매핑 경험: SIR 인시던트 필드 매핑 섹션 하단에 있는 + 아이콘을 사용하여 필드를 추가하거나 제거하여 매핑 그리드를 사용자 지정합니다. 제공된 색상 코딩으로 간과되거나 이전에 매핑된 필드를 추적합니다(매핑된 필드는 회색으로 표시되고 파란색 필드는 매핑되지 않음).
- 인시던트 생성 조건: 매핑 섹션이 완료되면 필터 조건을 정의하여 보안 인시던트를 생성해야 하는 상관관계 이벤트와 필터링해야 하는 상관관계 이벤트(예: 우선순위가 낮은 상관관계 이벤트)를 필터링할 수 있습니다. 이는 상관관계 이벤트 샘플 수집 섹션 아래에 있는 인시던트 생성 조건 섹션에서 수행됩니다.
- 이벤트 집계 기준: 유사하거나 중복 가능성이 있는 인시던트를 생성하는 대신 수신 상관관계 이벤트를 기존 SIR 보안 인시던트에 집계하는 추가 이벤트 집계 기준을 정의합니다. 각 프로파일에 대해 필드 일치 값 기준을 사용하는 이 추가 집계 기능은 모든 관련 보안 주목할 만한 이벤트 데이터를 단일 보안 인시던트에 배치하여 활성되고 중복되는 보안 인시던트의 수를 줄일 수 있습니다.
- 형식 필드 변환: 경우에 따라 상관관계 이벤트의 ArcSight ESM 이벤트 필드 값이 보안 인시던트의 SIR 필드로 직접 변환되지 않을 수 있습니다. 이러한 값의 경우 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값에 대한 형식을 지정할 수 있습니다. 비슷하지만 동일하지는 않은 값의 형식을 지정하려면 스크립트 편집기를 사용하십시오.
예를 들어 스크립트 편집기에서 맬웨어 경보 및 바이러스 감염의 범주 값은 소스 범주에 대해 서로 다른 필드 값을 가질 수 있지만 필드 형식 변환 기능을 사용하여 보안 인시던트의 SIR 범주 필드에서 두 값 모두 공통 악성 코드 활동으로 변환할 수 있습니다.
다음 단계는 샘플 상관관계 이벤트를 수집하고 값을 보안 인시던트 필드에 SIR 매핑하는 것입니다.