상관 관계 이벤트 수집 통합을 위한 ArcSight ESM 프로파일 생성
sn_si.admin 역할을 가진 사용자는 인스턴스에 프로파일을 Now Platform 생성하고 어떤 상관관계 이벤트가 보안 인시던트를 생성하는지 결정합니다. SIR상관관계 이벤트에서 보안 인시던트가 생성되기 전 Now Platform 보안 인시던트 응답 ()에는 이벤트의 필드 값이 보안 인시던트의 Now Platform 레이아웃에 표시되므로 실제 보안 인시던트가 생성되는 방식을 미리 볼 수 있습니다.
시작하기 전에
이 태스크 정보
상관관계 이벤트는 정의된 프로파일 유형에 따라 인스턴스의 환경 Now Platform 으로 보안 운영 자동 수집됩니다. 프로파일은 무단 액세스 시도 또는 맬웨어와 같은 한 가지 유형의 상관관계 이벤트를 캡슐화한 것입니다.
상관관계 이벤트를 수집한 후에는 개별 상관관계 이벤트 필드를 보안 인시던트의 해당 필드에 매핑할 수 있습니다. 상관관계 이벤트를 필터링하여 보안 인시던트를 생성하는 이벤트를 지정할 수 있습니다. 예를 들어 고위험으로 식별된 상관관계 이벤트에 대해서만 보안 인시던트를 생성하는 필터를 선호할 수 있습니다. 들어오는 중복 상관관계 이벤트가 미해결 보안 인시던트로 집계되도록 추가 이벤트 집계 기준을 정의할 수도 있습니다. 마지막으로 수집 일정을 정의하고 프로파일을 활성화할 수 있습니다.
인스턴스의 이벤트 프로파일 Now Platform 이름은 고유해야 하며 특정 시점에 하나의 활성 이벤트 프로파일에만 매핑할 수 있습니다.