Datos adicionales en ArcSight ESM

Todos los que alguna vez instalaron un solo ArcSight SmartConnector conocen el capítulo ‘Mapeo de Eventos del Dispositivo a Campos de ArcSight’ en la guía de instalación donde se puede encontrar información sobre el mapeo de campos específicos del dispositivo al esquema de eventos de ArcSight. Es un capítulo esencial para los analistas, ¿verdad? Ciertamente, notaste que para algunos SmartConnectors hay campos de ‘Datos Adicionales’. Por ejemplo:¿De dónde vienen? ¿Por qué los necesitamos? ¿Cómo usarlos?

Bueno, durante el análisis, el conector sabe cómo procesar y obtener datos del evento. Los valores importantes se asignan a los campos de ArcSight de inmediato, pero el resto, supongamos que no se usan ampliamente o lo que sea, no se mapean. Ignorarlos no es correcto, por lo que ArcSight proporciona la capacidad de que un usuario decida si esos valores son necesarios para él, y puede mapearlos si es necesario.
Usar Datos Adicionales permite ahorrar ancho de banda, espacio de almacenamiento y carga del conector.

El SmartConnector rastrea cualquier nombre de dato adicional que encuentre e informa esta información a la Consola de ArcSight.

Las manipulaciones con los campos de ‘Datos Adicionales’ se realizan a través de comandos de SmartConnector desde la Consola de ArcSight, como se muestra:Tomemos un ejemplo. Por defecto, Windows Unified Connector no mapea la versión de Windows a ningún campo de ArcSight. Pero yo quiero tenerlo. ¿Qué debo hacer?
Seleccionar ‘Obtener Nombres de Datos Adicionales’ (del menú mostrado anteriormente).
Obtendrás algo como lo siguiente en el Panel de Visualización, la lista de todos los campos de datos adicionales disponibles:Como puedes ver, hay un campo llamado ‘WindowsVersion’. Y quiero tener este valor en el campo de versión del dispositivo en ArcSight.

Seleccionar ‘Mapear Nombre de Dato Adicional…’ comando. Se abrirá el siguiente cuadro de diálogo:Especificar la información solicitada. ‘Campo de ArcSight’ es el campo donde deseas mapear Datos Adicionales (en nuestro ejemplo – Versión del Dispositivo en camel case).Nota: Los campos de proveedor de dispositivo y producto de dispositivo pueden dejarse en blanco para crear un mapeo genérico, o rellenarse para un mapeo específico. El nombre de los datos adicionales suele ser uno de los nombres mostrados en la salida de Obtener Nombres de Datos Adicionales. El campo de ArcSight debe ser un campo de evento válido de ArcSight.La salida del comando para un mapeo exitoso se ve como sigue:
Mapeo exitoso del nombre de dato adicional [WindowsVersion] al campo de evento [deviceVersion] para vendedor/producto [Microsoft/Microsoft_Windows]

Revisemos los nuevos eventos que llegan. Aquí vamos:Si ya no necesitas ese valor, puedes desmapearlo. Para desmapear valores de Datos Adicionales usa el comando ‘Desmapear Nombre de Dato Adicional…’. Se abrirá el siguiente cuadro de diálogo:Especificar la información solicitada. El nombre de los datos adicionales debe ser uno previamente mapeado para la combinación de proveedor de dispositivo y producto especificada. Haz clic en ‘OK.’

La salida del comando para un desmapeo exitoso se ve como sigue:
Desmapeo exitoso del nombre de dato adicional [WindowsVersion] para vendedor/producto [Microsoft/Microsoft_Windows]

Hecho.