Criar uma programação para ingestão de eventos ArcSight ESM ingestão

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Você pode definir a programação de pesquisa ou extração para novos eventos correlacionados. Durante esta etapa, você pode verificar as configurações existentes para recuperação de eventos de correlação ou modificar a programação conforme necessário. Esta etapa também permite recuperar eventos de correlação histórica usando um intervalo de datas.

    Antes de Iniciar

    Função necessária: sn_si.admin.

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode escolher se deseja ingerir eventos de correlação histórica durante a etapa de Programação. Você também escolhe com que frequência pesquisará novos eventos de correlação futuros que correspondam à configuração do perfil.

    Como um usuário com a função sn_si.admin, você configura esses intervalos de pesquisa por perfil. O desempenho da integração de ingestão de eventos de correlação ArcSight ESM pode ser afetado pelos diferentes intervalos de pesquisa. Ao programar, você pode preferir equilibrar a redução da sobrecarga de pesquisa no servidor ArcSight ESM com o desejo de ser notificado assim que possível quando um evento for criado ou atualizado. Um valor padrão de cinco minutos é definido para qualquer perfil, mas você pode preferir modificar essa configuração para um minuto, se necessário.

    Extraindo eventos de correlação novos e atualizados

    Procedimento

    1. Se a página Programação na barra de andamento não for exibida, selecione Programação.
    2. Escolha um para programar como e quando os eventos de correlação são extraídos do<ArcSight> console.
      OpçãoDescrição
      • Campo de ingestão de eventos contínuos selecionado
      • Campo de recuperação única limpo
      		 Evento contínuo

      Com base na configuração padrão, a instância Now Platform extrai do servidor ArcSight ESM novos eventos de correlação a cada cinco minutos. Os incidentes de segurança serão criados se eventos de correlação forem encontrados e os critérios de filtragem de geração de incidentes forem correspondidos. Para equilibrar a sobrecarga de pesquisa de ingestão para obter os dados mais atuais, cinco minutos é a configuração padrão. No entanto, este valor pode ser modificado para até um minuto, se necessário.
      • Campo de ingestão de eventos contínuos limpo
      • Campo de recuperação única selecionado
      		 Recuperação Única

      Use esta configuração se quiser que uma extração única inclua eventos de correlação histórica.

      Quando esta configuração é definida, um perfil é usado uma vez para recuperar eventos de correlação de eventos históricos que são baseados em um intervalo de datas. À direita do campo Data desde, clique no ícone de calendário. No calendário exibido, selecione a data em que deseja começar a extrair alertas. Começando com o valor de data Desde, os eventos de correlação são recuperados até a data atual.

      Observe que você pode recuperar eventos até sete dias a partir da data atual. Esta funcionalidade não se destina a recuperar quantidades significativas de eventos históricos por motivos de arquivamento, mas sim uma quantidade mínima de eventos em andamento que estão sendo trabalhados ativamente no momento da ativação do perfil.

      Depois que os eventos de correlação forem extraídos, esta configuração não recuperará mais eventos de correlação para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todos os eventos de correlação encontrados para o intervalo inserido.

      ArcSight ESM: criar perfil: programação

      Como um exemplo para programar um tempo de ingestão de evento de correlação inicial, se você tiver uma verificação de segurança diária ArcSight ESM que é executada uma vez por dia às 4h, horário local, você pode configurar o perfil de evento de correlação correspondente em sua instância Now Platform para ser executado em 4 :05 AM, horário local, para capturar o evento de falha de segurança imediatamente e criar um incidente de segurança. Insira 04 05 00 no campo Ingestão de evento inicial. No campo Incrementar (minutos), insira 1440 (24 horas) para programar a próxima ingestão de eventos por 24 horas a partir da ingestão de eventos inicial. O tempo de ingestão do evento inicial e o tempo de ingestão do próximo evento são exibidos nos campos.

    3. Para definir as configurações deste exemplo, siga estas etapas.
      1. Com a página Programação exibida, marque a caixa de seleção Ingestão de eventos contínuos para habilitar essa opção.
      2. No campo Incrementar (minutos), insira 1440 (24 horas).
      3. Clique na caixa de seleção Definir tempo de ingestão do evento correlacionado inicial para habilitar a edição dos campos Ingestão de evento inicial e Ingestão de próximo evento.
      4. No campo Tempo de ingestão do evento inicial, insira 04 05 00.
        No campo Tempo de ingestão do próximo evento (estimado), a hora da ingestão do próximo evento é exibida.
    4. Clique em Continuar para navegar até a página Opções adicionais.
      Nota:
      O número padrão de incidentes de segurança que podem ser criados e agregados em um dia e o período de fluxo são definidos nas ArcSight ESM Configurações de integração. Você pode modificar essas configurações, se necessário. Consulte ArcSight ESM Configurações de integração para integração de ingestão de eventos para obter detalhes.