Criar um perfil para ArcSight ESM integração de ingestão de eventos de correlação
Como um usuário com a função sn_si.admin, você cria um perfil em sua instância Now Platform e determina quais eventos de correlação criam incidentes de segurança. Antes que os incidentes de segurança Now Platform Security Incident Response (SIR) sejam criados a partir de eventos de correlação, os valores de campo dos eventos são exibidos em um layout de um incidente de segurança Now Platform para que você possa visualizar como o incidente de segurança real será criado.
Antes de Iniciar
Por Que e Quando Desempenhar Esta Tarefa
Os eventos de correlação são ingeridos automaticamente no ambiente Operações de segurança da sua instância Now Platform, dependendo do tipo de perfil definido. Um perfil é um encapsulamento de um tipo de evento de correlação, como tentativas de acesso não autorizado ou malware.
Depois que um evento de correlação tiver sido ingerido, você poderá mapear campos de evento de correlação individuais para campos correspondentes no incidente de segurança. Você pode filtrar eventos de correlação para especificar quais eventos criam incidentes de segurança. Por exemplo, você pode preferir filtros que criam incidentes de segurança somente para eventos de correlação identificados como de alto risco. Você também pode definir critérios de agregação de eventos adicionais para que os eventos de correlação duplicados de entrada sejam agregados a um incidente de segurança aberto. Por fim, você pode definir uma programação de ingestão e ativar o perfil.
Os nomes dos perfis de evento em sua instância Now Platform devem ser exclusivos e só podem ser mapeados para um perfil de evento ativo por vez.