Visualizar o incidente de segurança para a integração de ingestão de eventos ArcSight ESM

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Depois de concluir a etapa de mapeamento, visualize os valores que você mapeou em um incidente de segurança Now Platform Resposta a incidentes de segurança (SIR). Esta etapa de visualização permite que você verifique se mapeou todos os campos de correlação que deseja exibir no incidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin.

    Por Que e Quando Desempenhar Esta Tarefa

    Como um usuário com a função sn_si.admin, visualize um incidente de segurança e edite o mapeamento novamente conforme necessário para corrigir campos com erros ou para preencher quaisquer dados ausentes. Se a visualização não for concluída com sucesso, você não poderá prosseguir para a etapa de programação. As visualizações de incidentes de segurança não são salvas como incidentes reais no produto Resposta a incidentes de segurança.

    Procedimento

    1. Se a visualização do incidente de segurança não for exibida, clique em Visualizar na barra de andamento.
    2. Na lista de seleção IDs de evento de amostra, selecione um item.
      O incidente de segurança é exibido. Não altere nenhuma informação nos campos. Esta exibição é somente leitura e um registro deste incidente de segurança não é salvo.
    3. Revise o mapeamento de campo dos valores de evento de correlação no incidente de segurança.

      ArcSight ESM: criar perfil: visualizar

      A imagem anterior é um exemplo de uma visualização com um erro de mapeamento. Neste exemplo, um valor de campo do evento de correlação não tem um valor aceitável para o campo de referência no formulário de incidente SIR. Uma mensagem de erro é exibida indicando que um valor de entrada não foi encontrado para o campo Categoria, que é um campo de referência com um conjunto específico de valores. Como resultado, este valor de campo mapeado não aparecerá no formulário de incidente de segurança SIR sem modificações adicionais.

    4. Para resolver este erro, clique em Mapeamento na barra de andamento.
    5. Edite o mapeamento para corrigir valores incorretos ou preencha os dados ausentes.
    6. Visualize o mapeamento novamente e continue a corrigir os erros descritos nas mensagens de erro.

      A figura a seguir é um exemplo da guia Detalhes do incidente na metade inferior de um incidente de segurança depois que todas as mensagens de erro são resolvidas. Para este exemplo, os campos Descrição e Anotações de trabalho foram mapeados e esses campos são preenchidos com os valores dos pares de valores extraídos das amostras de evento de correlação ArcSight ESM.


      ArcSight ESM: criar perfil: visualizar incidente

    O que Fazer Depois

    Se nenhuma mensagem de erro for exibida e você estiver satisfeito com o mapeamento de campos no incidente de segurança, a próxima etapa será definir a programação.