Mapeamento de campos de evento de correlação para a integração de ingestão de eventos ArcSight ESM
Depois de identificar a regra de evento de correlação específica na lista, a próxima etapa é mapear os campos de evento de correlação para os campos no formulário de incidente de segurança.
Visão geral
Para a etapa de mapeamento, você pode ingerir eventos de correlação de amostra para a regra de correlação selecionada. Durante esta fase de mapeamento, você pode garantir que todos os dados de campo de evento de correlação relevantes sejam mapeados para o local apropriado no formulário de incidente SIR e, em seguida, visualizar o incidente SIR na seção de visualização.
Quando você clica em Recuperar eventos, os nomes do campo de evento de correlação e os valores correspondentes são preenchidos no lado esquerdo do formulário. Estes são os campos de evento de correlação ArcSight ESM que estão disponíveis para mapear para os campos de incidente de segurança.
Você pode preferir revisar alguns eventos de correlação de amostra no console para incluir na etapa de configuração de mapeamento de campo. Esta etapa é rotulada como Mapeamento na barra de andamento. Se esta página não for exibida, clique em Mapeamento na barra de andamento. Você pode ingerir até cinco eventos de correlação de amostra do gerenciador ArcSight ESM para a regra de correlação selecionada para ajudar no processo de mapeamento de campo. Há opções para ingerir os cinco eventos de correlação mais recentes para o Evento de Correlação selecionado ou ingerir até cinco eventos de correlação específicos com base nos IDs de evento.
- Mapeamento de campo: edite a configuração de mapeamento arrastando os campos de evento de correlação do lado esquerdo e soltando-os na seção de mapeamento de incidente SIR à direita. O mapeamento à direita associa o campo de evento de correlação de entrada a um campo de incidente de segurança de saída.
- Experiência de mapeamento: personalize a grade de mapeamento adicionando ou removendo campos usando o ícone + na parte inferior da seção de mapeamento de campo de incidente SIR. Rastreie campos ignorados ou mapeados anteriormente com a codificação de cores fornecida (os campos mapeados ficam esmaecidos, os campos azuis não estão mapeados).
- Condições de geração de incidentes: depois que a seção de mapeamento estiver concluída, você poderá definir condições de filtro para filtrar quais eventos de correlação devem criar incidentes de segurança versus eventos de correlação que devem ser filtrados, por exemplo, eventos de correlação de prioridade baixa. Isso é feito na seção Condições de geração de incidentes localizada abaixo da seção Ingestão de amostra de evento de correlação.
- Critérios de agregação de eventos: defina critérios de agregação de eventos adicionais que agregam um evento de correlação de entrada a um incidente de segurança SIR existente em vez de criar incidentes semelhantes, potencialmente duplicados. Usando critérios de valor de correspondência de campo para cada perfil, essa capacidade de agregação adicional pode reduzir o número de incidentes de segurança ativos e sobrepostos, colocando todos os dados de evento notáveis de segurança relacionados em um único incidente de segurança.
- Tradução de campo de formato: em determinados casos, os valores de campo de evento no evento de correlação ArcSight ESM podem não ser traduzidos diretamente para os campos no incidente de segurança SIR. Para esses valores, você pode usar um editor de script para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. Use o editor de script se quiser formatar valores semelhantes, mas não idênticos.
Por exemplo, com o editor de script, um valor de categoria de Alerta de malware e Infecção de vírus pode ter valores de campo diferentes para a categoria de origem, mas ambos os valores podem ser convertidos em uma Atividade de código malicioso comum no campo Categoria no incidente de segurança SIR usando o Funcionalidade de tradução de campo de formato.
A próxima etapa é ingerir eventos de correlação de amostra e mapear valores para os campos de incidente de segurança SIR.