Criar uma programação para ingestão de ingestão de eventos ArcSight ESM ingestão

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Você pode definir a pesquisa ou a programação de extração para novos eventos correlacionados. Durante esta etapa, você pode verificar as configurações existentes para recuperação de evento de correlação ou modificar a programação conforme necessário. Esta etapa também permite recuperar eventos de correlação históricos usando um intervalo de datas.

    Antes de Iniciar

    Função necessária: sn_si.admin.

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode escolher se deseja ingerir eventos de correlação histórica durante a etapa de Programação. Você também escolhe com que frequência pesquisará novos eventos de correlação futuros que correspondam à configuração do perfil.

    Como um usuário com a função sn_si.admin, você configura esses intervalos de pesquisa por perfil. O desempenho da integração de ingestão de evento de correlação ArcSight ESM pode ser afetado pelos diferentes intervalos de pesquisa. Ao programar, talvez você prefira equilibrar a redução da sobrecarga de pesquisa no servidor ArcSight ESM com o desejo de ser notificado o mais rápido possível quando um evento for criado ou atualizado. Um valor padrão de cinco minutos é definido para qualquer perfil, mas você pode preferir modificar essa configuração para um minuto, se necessário.

    Extraindo eventos de correlação novos e atualizados

    Procedimento

    1. Se a página Programação na barra de andamento não for exibida, selecione Programação.
    2. Escolha um para programar como e quando os eventos de correlação são extraídos do<ArcSight> console.
      OpçãoDescrição
      • Campo de ingestão de eventos em andamento selecionado
      • Campo de recuperação única limpo
      		 Evento em andamento

      Com base na configuração padrão, a instância Now Platform extrai do servidor ArcSight ESM para novos eventos de correlação a cada cinco minutos. Os incidentes de segurança serão criados se os eventos de correlação forem encontrados e os critérios de filtragem de geração de incidentes forem correspondidos. Para equilibrar a sobrecarga de pesquisa de ingestão para obter os dados mais atuais, cinco minutos é a configuração padrão. No entanto, este valor pode ser modificado para até um minuto, se necessário.
      • Campo de ingestão de eventos em andamento limpo
      • Campo de recuperação única selecionado
      		 Recuperação Única

      Use esta configuração se quiser que uma extração única inclua eventos de correlação históricos.

      Quando esta configuração é definida, um perfil é usado uma vez para recuperar eventos de correlação de eventos históricos que são baseados em um intervalo de datas. À direita do campo Desde a data, clique no ícone de calendário. No calendário exibido, selecione a data em que você deseja começar a extrair alertas. Começando com o valor de data Desde, os eventos de correlação são recuperados até a data atual.

      Observe que você pode recuperar eventos até sete dias a partir da data atual. Esta funcionalidade não se destina a recuperar quantidades significativas de eventos históricos por motivos de arquivamento, mas sim uma quantidade mínima de eventos em andamento que estão sendo trabalhados ativamente no momento da ativação do perfil.

      Depois que os eventos de correlação forem extraídos, esta configuração não recuperará mais eventos de correlação para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todos os eventos de correlação encontrados para o intervalo inserido.

      ArcSight ESM: criar perfil: programação

      Como exemplo para programar um tempo de ingestão de evento de correlação inicial, se você tiver uma verificação de segurança diária ArcSight ESM que é executada uma vez por dia às 4h no horário local, é possível configurar o perfil de evento de correlação correspondente em sua instância Now Platform para ser executado às 4 :05 hora local para capturar o evento de falha de segurança imediatamente e criar um incidente de segurança. Insira 04 05 00 no campo Ingestão de evento inicial. No campo Incrementar (minutos), insira 1440 (24 horas) para programar a próxima ingestão de evento por 24 horas a partir da ingestão de evento inicial. O tempo de ingestão do evento inicial e o tempo de ingestão do próximo evento são exibidos nos campos.

    3. Para definir as configurações deste exemplo, siga estas etapas.
      1. Com a página Programação exibida, marque a caixa de seleção Ingestão de evento em andamento para habilitar esta opção.
      2. No campo Incrementar (minutos), insira 1440 (24 horas).
      3. Clique na caixa de seleção Definir tempo de ingestão de evento correlacionado inicial para habilitar a edição dos campos Ingestão de evento inicial e Próxima ingestão de evento.
      4. No campo Tempo de ingestão de evento inicial, insira 04 05 00.
        No campo Tempo de ingestão do próximo evento (estimado), a hora da próxima ingestão de evento é exibida.
    4. Clique em Continuar para navegar até a página Opções adicionais.
      Nota:
      O número padrão de incidentes de segurança que podem ser criados e agregados em um dia e o período de fluxo são definidos nas ArcSight ESM Configurações de integração. Você pode modificar essas configurações, se necessário. Consulte ArcSight ESM Configurações de integração para integração de ingestão de eventos para mais detalhes.