Données supplémentaires dans ArcSight ESM

Tous ceux qui ont déjà installé un seul SmartConnector ArcSight connaissent le chapitre ‘Mappage des événements de l’appareil aux champs ArcSight’ dans le guide d’installation où vous pouvez trouver des informations sur le mappage des champs spécifiques aux appareils au schéma d’événement ArcSight. C’est un chapitre essentiel pour les analystes, n’est-ce pas ? Certainement, vous avez remarqué que pour certains SmartConnectors il y a des champs ‘Données supplémentaires’. Par exemple :D’où viennent-ils ? Pourquoi en avons-nous besoin ? Comment les utiliser ?

Eh bien, pendant l’analyse, le connecteur sait comment traiter et obtenir des données de l’événement. Les valeurs importantes sont mappées aux champs ArcSight immédiatement, mais le reste, supposons qu’ils ne sont pas largement utilisés ou autre, ne sont pas mappés. Les ignorer n’est pas correct, donc ArcSight offre la possibilité à un utilisateur de décider si ces valeurs sont nécessaires pour lui ou non, et il peut les mapper si besoin est.
Utiliser des Données supplémentaires permet d’économiser de la bande passante, de l’espace de stockage et la charge du connecteur.

Le SmartConnector suit quels noms de données supplémentaires il rencontre et rapporte cette information à la Console ArcSight.

Les manipulations avec les champs ‘Données supplémentaires’ sont effectuées via les commandes SmartConnector depuis la Console ArcSight, comme indiqué :Prenons un exemple. Par défaut, le Connecteur Windows Unified ne mappe pas la version de Windows à un champ ArcSight. Mais je veux l’avoir. Que devrais-je faire ?
Sélectionnez ‘Obtenir les noms de données supplémentaires’ (du menu montré ci-dessus).
Vous obtiendrez quelque chose comme ce qui suit sur le panneau de visualisation, la liste de tous les champs de données supplémentaires disponibles :Comme vous pouvez le voir, il y a un champ appelé ‘WindowsVersion.’ Et je veux avoir cette valeur dans le champ de version de l’appareil ArcSight.

Sélectionnez ‘Mapper le nom des données supplémentaires…’ commande. Cela ouvrira la boîte de dialogue suivante :Spécifiez les informations demandées. ‘Champ ArcSight’ est un champ où vous souhaitez mapper les Données supplémentaires (dans notre exemple – Version de l’Appareil en camel case).Remarque : Les champs du vendeur d’appareils et du produit d’appareil peuvent être laissés vides pour créer un mappage générique, ou remplis pour un mappage spécifique. Le nom de la donnée supplémentaire est généralement l’un des noms affichés dans la sortie Obtenir les noms de données supplémentaires. Le champ ArcSight doit être un champ d’événement ArcSight valide.La sortie de commande pour un mappage réussi ressemble à ceci :
Mappage réussi du nom de la donnée supplémentaire [WindowsVersion] au champ d’événement [deviceVersion] pour vendeur/produit [Microsoft/Microsoft_Windows]

Vérifions les nouveaux événements entrants. Et voilà :Si vous n’avez plus besoin de cette valeur, vous pouvez la démappager. Pour démappager les valeurs de Données supplémentaires, utilisez la commande ‘Démappager le nom des données supplémentaires…’. Cela ouvrira la boîte de dialogue suivante :Spécifiez les informations demandées. Le nom de la donnée supplémentaire doit être celui qui a été précédemment mappé pour la combinaison vendeur d’appareil et produit spécifiée. Cliquez sur ‘OK.’

La sortie de commande pour un démappage réussi ressemble à ceci :
Nom de la donnée supplémentaire [WindowsVersion] démappé avec succès pour vendeur/produit [Microsoft/Microsoft_Windows]

Fini.