이벤트 수집 통합을 위한 ArcSight ESM 매핑 상관관계 이벤트 필드
목록에서 특정 상관관계 이벤트 규칙을 식별한 후 다음 단계는 상관관계 이벤트 필드를 보안 인시던트 양식의 필드에 매핑하는 것입니다.
개요
매핑 단계에서는 선택한 상관관계 규칙에 대한 샘플 상관관계 이벤트를 수집할 수 있습니다. 이 매핑 단계에서 모든 관련 상관관계 이벤트 필드 데이터가 인시던트 양식의 SIR 적절한 위치에 매핑되었는지 확인한 다음 미리 보기 섹션에서 인시던트를 시각화할 SIR 수 있습니다.
이벤트 검색을 클릭하면 상관관계 이벤트 필드 이름과 해당 값이 양식 왼쪽에 채워집니다. 보안 인시던트 ArcSight ESM 필드에 매핑할 수 있는 상관관계 이벤트 필드입니다.
콘솔에서 몇 가지 샘플 상관관계 이벤트를 검토하여 필드 매핑 구성 단계에서 수집하는 것이 좋습니다. 이 단계는 진행률 표시줄에 매핑이라는 레이블이 지정되어 있습니다. 이 페이지가 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다. 선택한 상관관계 규칙에 대해 Manager에서 ArcSight ESM 최대 5개의 샘플 상관관계 이벤트를 수집하여 필드 매핑 프로세스를 지원할 수 있습니다. 선택한 상관관계 이벤트에 대해 가장 최근의 상관관계 이벤트 5개를 수집하거나 이벤트 ID를 기반으로 최대 5개의 특정 상관관계 이벤트를 수집할 수 있는 옵션이 있습니다.
- 필드 매핑: 상관관계 이벤트 필드를 왼쪽에서 끌어서 오른쪽의 인시던트 매핑 섹션에 놓 SIR 아 매핑 구성을 편집합니다. 오른쪽의 매핑은 들어오는 상관관계 이벤트 필드를 나가는 보안 인시던트 필드와 연결합니다.
- 매핑 경험: SIR 인시던트 필드 매핑 섹션 하단에 있는 + 아이콘을 사용해 필드를 추가하거나 제거해 매핑 그리드를 사용자 지정합니다. 제공된 색상 코딩을 사용하여 간과되거나 이전에 매핑된 필드를 추적합니다(매핑된 필드는 회색으로 표시되고 파란색 필드는 매핑되지 않음).
- 인시던트 생성 조건: 매핑 섹션이 완료되면 필터 조건을 정의하여 보안 인시던트를 생성해야 하는 상관관계 이벤트와 필터링해야 하는 상관관계 이벤트(예: 우선순위가 낮은 상관관계 이벤트)를 필터링할 수 있습니다. 이 작업은 상관 관계 이벤트 샘플 수집 섹션 아래에 있는 인시던트 생성 조건 섹션에서 수행됩니다.
- 이벤트 집계 기준: 유사하거나 중복될 가능성이 있는 인시던트를 만드는 대신 기존 SIR 보안 인시던트에 들어오는 상관관계 이벤트를 집계하는 추가 이벤트 집계 기준을 정의합니다. 각 프로필의 필드 일치 값 조건을 사용하는 이 추가 집계 기능을 사용하면 관련된 모든 보안 중요 이벤트 데이터를 단일 보안 인시던트에 배치하여 활성 상태의 중복 보안 인시던트 수를 줄일 수 있습니다.
- 형식 필드 변환: 경우에 따라 상관 관계 이벤트의 ArcSight ESM 이벤트 필드 값이 보안 인시던트의 필드 SIR 로 직접 변환되지 않을 수 있습니다. 이러한 값의 경우, 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값을 포맷할 수 있습니다. 스크립트 편집기는 비슷하지만 동일하지 않은 값의 형식을 지정하려는 경우 사용합니다.
예를 들어 스크립트 편집기에서 맬웨어 경고 및 바이러스 감염 범주 값은 소스 범주에 대해 서로 다른 필드 값을 가질 수 있지만, 두 값 모두 필드 번역 서식 지정 기능을 사용하여 보안 인시던트의 범주 필드 SIR 에서 공통 악성 코드 활동으로 변환될 수 있습니다.
다음 단계는 샘플 상관관계 이벤트를 수집하고 값을 보안 인시던트 필드에 매핑하는 SIR 것입니다.