이벤트 수집 통합을 위한 ArcSight ESM 상관 관계 이벤트 필드 매핑
목록에서 특정 상관관계 이벤트 규칙을 식별한 후 다음 단계는 상관관계 이벤트 필드를 보안 인시던트 양식의 필드에 매핑하는 것입니다.
개요
매핑 단계에서는 선택한 상관관계 규칙에 대한 샘플 상관관계 이벤트를 수집할 수 있습니다. 이 매핑 단계에서는 모든 관련 상관관계 이벤트 필드 데이터가 인시던트 양식의 적절한 위치에 SIR 매핑되었는지 확인한 다음 미리 보기 섹션에서 인시던트를 시각화 SIR 할 수 있습니다.
이벤트 검색을 클릭하면 상관관계 이벤트 필드 이름과 해당 값이 양식 왼쪽에 채워집니다. ArcSight ESM 보안 인시던트 필드에 매핑할 수 있는 상관관계 이벤트 필드입니다.
콘솔에서 필드 매핑 구성 단계를 위해 수집할 몇 가지 샘플 상관관계 이벤트를 검토하는 것을 선호할 수 있습니다. 이 단계는 진행률 표시줄에 매핑이라는 레이블이 지정됩니다. 이 페이지가 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다. 선택한 상관관계 규칙에 대해 관리자에서 ArcSight ESM 최대 5개의 샘플 상관관계 이벤트를 수집하여 필드 매핑 프로세스를 지원할 수 있습니다. 선택한 상관 관계 이벤트에 대해 가장 최근의 상관 관계 이벤트 5개를 수집하거나 이벤트 ID를 기반으로 최대 5개의 특정 상관관계 이벤트를 수집하는 옵션이 있습니다.
- 필드 매핑: 상관관계 이벤트 필드를 왼쪽에서 끌어서 오른쪽의 인시던트 매핑 섹션에 놓아 SIR 매핑 구성을 편집합니다. 오른쪽의 매핑은 수신 상관관계 이벤트 필드를 발신 보안 인시던트 필드와 연결합니다.
- 매핑 환경: SIR 인시던트 필드 매핑 섹션 하단에 있는 + 아이콘을 사용하여 필드를 추가하거나 제거하여 매핑 그리드를 사용자 지정합니다. 제공된 색상 코딩으로 간과되었거나 이전에 매핑된 필드를 추적합니다(매핑된 필드는 회색으로 표시되고 파란색 필드는 매핑되지 않음).
- 인시던트 생성 조건: 매핑 섹션이 완료되면 필터 조건을 정의하여 보안 인시던트를 생성해야 하는 상관관계 이벤트와 필터링해야 하는 상관관계 이벤트(예: 우선순위가 낮은 상관관계 이벤트)를 필터링할 수 있습니다. 이 작업은 상관관계 이벤트 샘플 수집 섹션 아래에 있는 인시던트 생성 조건 섹션에서 수행됩니다.
- 이벤트 집계 기준: 중복될 가능성이 있는 유사한 인시던트를 생성하는 대신 수신 상관관계 이벤트를 기존 SIR 보안 인시던트로 집계하는 추가 이벤트 집계 기준을 정의합니다. 이 추가 집계 기능은 각 프로파일에 대해 필드 일치 값 기준을 사용하여 모든 관련 보안 중요 이벤트 데이터를 단일 보안 인시던트에 배치함으로써 활성 상태의 중복 보안 인시던트 수를 줄일 수 있습니다.
- 필드 형식 변환: 경우에 따라 상관관계 이벤트의 이벤트 필드 값이 ArcSight ESM 보안 인시던트의 필드 SIR 로 직접 변환되지 않을 수 있습니다. 이러한 값의 경우 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값에 대한 형식을 지정할 수 있습니다. 비슷하지만 동일하지는 않은 값의 형식을 지정하려면 스크립트 편집기를 사용하십시오.
예를 들어 스크립트 편집기를 사용하면 맬웨어 경보 및 바이러스 감염의 범주 값이 소스 범주에 대해 다를 수 있지만 두 값 모두 필드 번역 서식 지정 기능을 사용하여 보안 인시던트의 SIR 범주 필드에서 공통 악성 코드 활동으로 변환할 수 있습니다.
다음 단계는 샘플 상관관계 이벤트를 수집하고 값을 보안 인시던트 필드에 매핑하는 SIR 것입니다.