Dados Adicionais no ArcSight ESM

Todos que já instalaram um único ArcSight SmartConnector conhecem o capítulo ‘Device Event Mapping to ArcSight Fields’ no guia de instalação onde você pode encontrar informações sobre o mapeamento de campos específicos do dispositivo para o Esquema de Eventos do ArcSight. É um capítulo essencial para os Analistas, certo? Certamente, você notou que para alguns SmartConnectors existem campos ‘Additional Data’. Por exemplo:De onde eles vêm? Por que precisamos deles? Como usá-los?

Bem, durante a análise, o conector sabe como processar e obter dados do evento. Valores importantes são mapeados para os campos do ArcSight imediatamente, mas o restante, vamos supor que não sejam amplamente utilizados ou qualquer coisa do tipo, não são mapeados. Ignorá-los não é correto, então o ArcSight fornece a capacidade para um usuário decidir se esses valores são necessários para ele, e ele pode mapeá-los se necessário.
Usar Additional Data permite economizar banda, espaço de armazenamento e carga do conector.

O SmartConnector rastreia quaisquer nomes de dados adicionais que encontra e relata essa informação para o ArcSight Console.

As manipulações com os campos ‘Additional Data’ são realizadas através de comandos do SmartConnector a partir do ArcSight Console, como mostrado:Vamos pegar um exemplo. Por padrão, o Windows Unified Connector não mapeia a versão do Windows para nenhum campo do ArcSight. Mas eu quero tê-la. O que devo fazer?
Selecionar ‘Get Additional Data Names’ (no menu mostrado acima).
Você verá algo como o seguinte no Painel do Visualizador, a lista de todos os campos de dados adicionais disponíveis:Como você pode ver, há um campo chamado ‘WindowsVersion.’ E eu quero ter esse valor no campo de Versão do Dispositivo do ArcSight.

Selecione ‘Map Additional Data Name…’ comando. Ele abrirá o seguinte diálogo:Especifique as informações solicitadas. ‘ArcSight field’ é um campo onde você quer mapear Additional Data (em nosso exemplo – Versão do Dispositivo em camel case).Nota: Os campos de fornecedor e produto do dispositivo podem ser deixados em branco para criar um mapeamento genérico ou preenchidos para um mapeamento específico. O nome de dados adicionais é geralmente um dos nomes mostrados na saída ‘Get Additional Data Names’. O campo ArcSight deve ser um campo de evento válido do ArcSight.A saída do comando para um mapeamento bem-sucedido é a seguinte:
Mapeamento de nome de dados adicionais [WindowsVersion] para campo de evento [deviceVersion] para fornecedor/produto [Microsoft/Microsoft_Windows] realizado com sucesso.

Vamos verificar os novos eventos. Aqui estamos:Se você não precisar mais desse valor, poderá desfazer o mapeamento. Para desfazer o mapeamento de valores Additional Data use o comando ‘Unmap Additional Data Name…’. Ele abrirá o seguinte diálogo:Especifique as informações solicitadas. O nome dos dados adicionais deve ser aquele que foi anteriormente mapeado para a combinação especificada de fornecedor e produto do dispositivo. Clique em ‘OK.’

A saída do comando para desfazer o mapeamento com sucesso é a seguinte:
Nome de dados adicionais [WindowsVersion] desmapeado com sucesso para fornecedor/produto [Microsoft/Microsoft_Windows]

Concluído.