Criar e nomear o perfil para integração de ingestão de eventos ArcSight ESM

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Você pode configurar um perfil para ingerir eventos de correlação.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Para criar um perfil de evento para um evento de correlação em sua instância Now Platform, navegue até Integração de ESM do ArcSight > Perfil de evento do ArcSight ESM.
    2. Clique em Nova.
    3. Preencha os campos.

      Um exemplo de formulário preenchido segue a tabela.

      Campo Descrição
      Nome Nome exclusivo para o perfil. Se os nomes não forem exclusivos, um erro será exibido e os nomes de perfil duplicados não serão salvos.

      Os nomes de perfil na sua instância Now Platform devem ser exclusivos.
      Ativo A caixa de seleção está desmarcada por padrão. Se esta opção estiver desabilitada, o perfil não estará ativo e a ingestão não ocorrerá.
      Nota:
      Você deve preencher todas as seções no perfil antes de torná-lo ativo.
      Origem do ArcSight O servidor ArcSight ESM configurado durante a etapa de autenticação inicial. Se você tiver vários servidores ArcSight ESM configurados, selecione o servidor apropriado para os tipos de evento de correlação que serão ingeridos para o perfil. Você deve selecionar um valor.
      ID do visualizador de consulta Insira o ID do recurso do Visualizador de consulta configurado no console ArcSight ESM. O ID do recurso é um identificador exclusivo para qualquer Visualizador de consulta configurado no servidor ArcSight ESM. Depois que o ID do recurso for enviado, o nome da exibição de consulta será retornado para garantir que o visualizador de consulta correto tenha sido selecionado. Consulte a seção abaixo para obter uma captura de tela de como determinar o ID do recurso do Visualizador de consulta selecionado em ArcSight ESM.
      Ordem O padrão é 100.

      Se você tiver criado vários perfis, este valor fornecerá uma prioridade de execução em tempo de execução quando dois ou mais perfis compartilharem as mesmas condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
      (Opcional) Descrição Texto adicional para ajudá-lo a distinguir este perfil de outros perfis.
      A figura a seguir é um exemplo de um formulário preenchido.
      Perfil de evento do ArcSight: nome
      Depois de inserir os detalhes do perfil, clique em Continuar. O ID do visualizador de consulta é validado e, se um ID de recurso correspondente estiver presente no ArcSight ESM Visualizador de consulta, o nome do visualizador de consulta será retornado conforme mostrado abaixo. Se a validação falhar, verifique se o ID do recurso existe no console ArcSight ESM. Se o ID do recurso não for encontrado, encontre o ID de recurso correto e insira-o no perfil.
      Visualizador de consulta do ArcSight

    O que Fazer Depois

    A próxima etapa é selecionar os tipos de evento de correlação para ingestão no Visualizador de consulta que foi selecionado na etapa anterior.