ArcSight ESMの追加データ

ArcSight SmartConnectorを一度でもインストールしたことがある人は誰でも、インストールガイドにある『デバイスイベントをArcSightフィールドにマッピング』章を知っています。この章では、デバイス固有のフィールドをArcSightイベントスキームにマッピングする方法が説明されています。アナリストにとって重要な章ですね？確かに、一部のSmartConnectorには『追加データ』フィールドが存在することに気づいたでしょう。たとえば：それらはどこから来るのでしょうか？なぜそれが必要なのでしょう？どのように使用するのでしょうか？

実は、解析中にコネクタはイベントからデータを処理して取得する方法を知っています。重要な値はすぐにArcSightフィールドにマッピングされますが、その他の値は、たとえば広く使われていないなどの理由で、マッピングされません。それらを無視するのは正しくありません。だからこそ、ArcSightはユーザーがそれらの値が必要かどうかを判断し、必要であればそれらをマッピングする機能を提供しています。
追加データを使用することで、帯域幅、ストレージスペース、コネクタ負荷を節約できます。

SmartConnectorは出会った追加データ名を追跡し、この情報をArcSightコンソールに報告します。

『追加データ』フィールドの操作は、ArcSightコンソールからのSmartConnectorコマンドを通じて行われます。以下のように：例を見てみましょう。デフォルトでは、Windows Unified ConnectorはWindowsバージョンをArcSightのいずれのフィールドにもマッピングしません。しかし、私はそれを持ちたいのです。どうすればよいでしょうか？ 『追加データ名の取得』 （上記のメニューから）。
Viewer Panel上で以下のようなものが得られるでしょう。利用可能な追加データフィールドのリストです：ご覧のとおり、『WindowsVersion』というフィールドがあります。そして私はこの値をデバイスバージョンのArcSightフィールドに持ちたいと思っています。

『追加データ名のマッピング…』を選択します。 『追加データ名をマッピング…』 コマンド。それにより、以下のダイアログが開きます：要求された情報を指定します。『ArcSightフィールド』は追加データをマッピングしたいフィールドです（例ではデバイスバージョン、キャメルケースで）。注意: デバイスベンダーおよびデバイス製品フィールドは、一般的なマッピングを作成するために空白のままにするか、特定のマッピングのために入力することができます。追加データ名は通常、追加データ名取得の出力に示されている名前の1つです。ArcSightフィールドは有効なArcSightイベントフィールドである必要があります。成功したマッピングのコマンド出力は次のようになります：
追加データ名[WindowsVersion]をベンダー/製品[Microsoft/Microsoft_Windows]のイベントフィールド[deviceVersion]に正常にマッピングしました

新しく来たイベントを確認してみましょう。さあ行きましょう：その値がもう必要なくなった場合は、マッピングを解除することができます。追加データ値のマッピングを解除するには、『追加データ名のマッピング解除…』コマンドを使用します。それにより、以下のダイアログが開きます：要求された情報を指定します。追加データ名は、指定されたデバイスベンダーおよび製品の組み合わせに対して以前にマッピングされたものである必要があります。『OK』をクリックします。

成功したマッピング解除のコマンド出力は次のようになります：
ベンダー/製品[Microsoft/Microsoft_Windows]の追加データ名[WindowsVersion]を正常にマッピング解除しました

完了。