Dati Aggiuntivi in ArcSight ESM

Tutti coloro che hanno mai installato un singolo ArcSight SmartConnector conoscono il capitolo ‘Mappatura degli eventi del dispositivo sui campi ArcSight’ nella guida all’installazione, dove è possibile trovare informazioni sulla mappatura dei campi specifici del dispositivo con lo schema degli eventi ArcSight. È un capitolo essenziale per gli analisti, giusto? Sicuramente, hai notato che per alcuni SmartConnector ci sono campi di ‘Dati aggiuntivi’. Per esempio:Da dove vengono? Perché ne abbiamo bisogno? Come usarli?

Bene, durante il parsing, il connettore sa come elaborare e ottenere i dati dall’evento. I valori importanti vengono mappati subito ai campi ArcSight, ma il resto, supponiamo che non siano ampiamente usati o altro, non vengono mappati. Ignorarli non è corretto, quindi ArcSight offre all’utente la possibilità di decidere se quei valori sono necessari per lui e può mapparli se necessario.
Usare i Dati Aggiuntivi consente di risparmiare larghezza di banda, spazio di archiviazione e carico del connettore.

Lo SmartConnector traccia qualsiasi nome di dati aggiuntivi che incontra e riporta queste informazioni alla Console di ArcSight.

Le manipolazioni con i campi dei ‘Dati Aggiuntivi’ vengono eseguite tramite i comandi dello SmartConnector dalla Console di ArcSight, come mostrato:Facciamo un esempio. Per impostazione predefinita, il Windows Unified Connector non mappa la versione di Windows in nessun campo ArcSight. Ma voglio averla. Cosa dovrei fare?
Seleziona ‘Ottieni Nomi Dati Aggiuntivi’ (dal menu mostrato sopra).
Otterrai qualcosa come il seguente nel Pannello Visualizzatore, l’elenco di tutti i campi di dati aggiuntivi disponibili:Come puoi vedere, c’è un campo chiamato ‘WindowsVersion’. E voglio avere questo valore nel campo Versione Dispositivo di ArcSight.

Seleziona ‘Mappa Nome Dato Aggiuntivo…’ comando. Si aprirà il seguente dialogo:Specifica le informazioni richieste. ‘Campo ArcSight’ è un campo dove vuoi mappare i Dati Aggiuntivi (nel nostro esempio – Versione Dispositivo in camel case).Nota: I campi fornitore del dispositivo e prodotto del dispositivo possono essere lasciati vuoti per creare una mappatura generica, o compilati per una mappatura specifica. Il nome del dato aggiuntivo di solito è uno dei nomi mostrati nell’output di Ottieni Nomi Dati Aggiuntivi. Il campo ArcSight deve essere un campo evento ArcSight valido.L’output del comando per una mappatura riuscita è il seguente:
Dati aggiuntivi [WindowsVersion] mappati con successo al campo evento [deviceVersion] per il fornitore/prodotto [Microsoft/Microsoft_Windows]

Verifichiamo i nuovi eventi arrivati. Ecco qua:Se non hai più bisogno di quel valore, puoi smappare. Per smappare i valori di Dati Aggiuntivi usa il comando ‘Smappa Nome Dato Aggiuntivo…’. Si aprirà il seguente dialogo:Specifica le informazioni richieste. Il nome del dato aggiuntivo dovrebbe essere uno di quelli precedentemente mappati per la combinazione specificata di fornitore e prodotto del dispositivo. Fai clic su ‘OK.’

L’output del comando per un’operazione di smappatura riuscita è il seguente:
Nome dato aggiuntivo [WindowsVersion] smappato con successo per il fornitore/prodotto [Microsoft/Microsoft_Windows]

Fatto.