Zusätzliche Daten in ArcSight ESM
Jeder, der jemals einen einzelnen ArcSight SmartConnector installiert hat, kennt das Kapitel ‚Zuordnung von Gerätereignissen zu ArcSight-Feldern‘ im Installationshandbuch, in dem Informationen zur Zuordnung gerätespezifischer Felder zum ArcSight-Ereignisschema zu finden sind. Es ist ein wesentliches Kapitel für Analysten, oder? Sicherlich haben Sie bemerkt, dass es für einige SmartConnectors ‚Zusätzliche Daten‘-Felder gibt. Zum Beispiel:
Woher kommen sie? Warum brauchen wir sie? Wie nutzt man sie?
Nun, während des Parsens weiß der Connector, wie er Daten aus dem Ereignis verarbeiten und erhalten kann. Wichtige Werte werden sofort ArcSight-Feldern zugeordnet, aber der Rest, von dem wir annehmen, dass er nicht weit verbreitet oder was auch immer ist, wird nicht zugeordnet. Sie zu ignorieren ist nicht richtig, also bietet ArcSight dem Benutzer die Möglichkeit zu entscheiden, ob er diese Werte benötigt oder nicht, und er kann sie bei Bedarf zuordnen.
Die Verwendung zusätzlicher Daten ermöglicht das Sparen von Bandbreite, Speicherplatz und Connector-Belastung.
Der SmartConnector verfolgt alle zusätzlichen Datennamen, die er erkennt, und meldet diese Informationen an die ArcSight-Konsole.
Manipulationen mit ‚Zusätzlichen Daten‘-Feldern werden über SmartConnector-Befehle von der ArcSight-Konsole aus durchgeführt, wie gezeigt:
Nehmen wir ein Beispiel. Standardmäßig weist der Windows Unified Connector die Windows-Version keinem ArcSight-Feld zu. Aber ich möchte sie haben. Was soll ich tun?
Wählen Sie ‚Zusätzliche Datennamen abrufen‘ (aus dem oben gezeigten Menü).
Sie erhalten im Viewer-Panel etwas wie das Folgende, die Liste aller verfügbaren zusätzlichen Datenfelder:
Wie Sie sehen können, gibt es ein Feld namens ‚WindowsVersion‘. Und ich möchte diesen Wert im ArcSight-Feld Geräteversion haben.
Wählen Sie ‚Zusätzlichen Datennamen zuordnen…‘ Befehl. Es öffnet das folgende Dialogfeld:
Geben Sie die angeforderten Informationen an. ‚ArcSight-Feld‘ ist ein Feld, in das Sie zusätzliche Daten zuordnen möchten (in unserem Beispiel – Geräteversion in Camel Case).Hinweis: Die Felder Geräteanbieter und Geräteprodukt können leer gelassen werden, um eine generische Zuordnung zu erstellen, oder für eine spezifische Zuordnung ausgefüllt werden. Der zusätzliche Datenname ist normalerweise einer der Namen, die in der Ausgabe „Zusätzliche Datennamen abrufen“ angezeigt werden. Das ArcSight-Feld muss ein gültiges ArcSight-Ereignisfeld sein.Die Befehlsausgabe für eine erfolgreiche Zuordnung sieht wie folgt aus:
Erfolgreich zusätzlichen Datennamen [WindowsVersion] zu Ereignisfeld [deviceVersion] für Anbieter/Produkt [Microsoft/Microsoft_Windows] zugeordnet
Lassen Sie uns die neu eingehenden Ereignisse überprüfen. Los geht’s:
Wenn Sie diesen Wert nicht mehr benötigen, können Sie ihn rückgängig machen. Um zusätzliche Datenwerte rückgängig zu machen, verwenden Sie den Befehl ‚Zusätzlichen Datennamen aufheben…‘. Es wird das folgende Dialogfeld geöffnet:
Geben Sie die angeforderten Informationen an. Der zusätzliche Datenname sollte einer sein, der zuvor für die angegebene Kombination aus Geräteanbieter und Produkt zugeordnet wurde. Klicken Sie auf ‚OK‘.
Die Befehlsausgabe für eine erfolgreiche Aufhebung sieht wie folgt aus:
Erfolgreich zusätzlichen Datennamen [WindowsVersion] für Anbieter/Produkt [Microsoft/Microsoft_Windows] aufgehoben
Fertig.
