상관 관계 이벤트 수집 통합을 위한 ArcSight ESM 프로필 생성
sn_si.admin 역할을 가진 사용자는 인스턴스에 프로파일을 생성하고 어떤 상관관계 이벤트가 보안 인시던트를 생성하는지 결정할 수 Now Platform 있습니다. SIR상관 관계 이벤트에서 () 보안 인시던트가 생성되기 전에 Now Platform 보안 인시던트 응답 이벤트의 필드 값이 보안 인시던트 레이아웃에 Now Platform 표시되므로 실제 보안 인시던트가 생성되는 방법을 미리 볼 수 있습니다.
시작하기 전에
이 태스크 정보
상관관계 이벤트는 정의된 프로파일 유형에 따라 인스턴스 환경으로 자동으로 수집 Security Operations 됩니다 Now Platform . 프로파일은 무단 액세스 시도 또는 맬웨어와 같은 한 유형의 상관관계 이벤트를 캡슐화한 것입니다.
상관관계 이벤트를 수집한 후에는 개별 상관관계 이벤트 필드를 보안 인시던트의 해당 필드에 매핑할 수 있습니다. 상관관계 이벤트를 필터링하여 보안 인시던트를 생성하는 이벤트를 지정할 수 있습니다. 예를 들어 고위험으로 식별된 상관관계 이벤트에 대해서만 보안 인시던트를 생성하는 필터를 선호할 수 있습니다. 또한 들어오는 중복 상관관계 이벤트가 미해결 보안 인시던트로 집계되도록 추가 이벤트 집계 기준을 정의할 수 있습니다. 마지막으로 수집 일정을 정의하고 프로필을 활성화할 수 있습니다.
인스턴스에 있는 Now Platform 이벤트 프로필의 이름은 고유해야 하며 지정된 시간에 하나의 활성 이벤트 프로필에만 매핑할 수 있습니다.