フォローする 
前回の記事では、 追加データフィールド とその使用方法について調べました。しかし、追加データフィールドにすら必要な情報がない場合はどうしますか?
ArcSight のイベントにアナリストに必要なすべての情報が含まれていない状況に直面することはよくあります。例えば、ユーザー名の代わりにユーザー ID、ホスト名の代わりにホスト ID などです。
分析でアクティブリストを使用し、アラート/相関イベントに必要なデータを追加することで、この状況を回避することができます。ただし、イベント検索や調査については少し問題があり、イベントには依然として ID しか含まれていません。
したがって、ArcSight データベースにインジェストされる前にイベントを充実させる機能が必要です。何と、ArcSight にはこれを行う方法があります。しかもいくつかの方法があります。それらすべてを説明してみます。
イベントソースとして物理アクセスシステム(PAS)があり、デフォルトではこのソースのイベントにはユーザー ID のみでユーザー名が含まれていないとしましょう。
ドメインコントローラーでの成功した認証を建物の中に物理的にいない従業員に通知する単純なユースケースでも、PAS イベントにユーザー名が必要です。
前持ちルールを使用してイベントを強化する
最初の方法は前持ちルールを使用することです。
前持ちルールには、基本的なイベント分析やさまざまなイベントフィールドの設定を有効にする小さな機能セットが含まれており、これによりこれらの基本イベントをデータベースに保存する前に強化されます。
したがって、一般的な使用シナリオは以下の通りです。
- ユーザー ID とユーザー名の一致を持つアクティブリストを作成します。ユーザー ID をキー フィールドにします。
- 前持ちルールを作成します。条件を定義し、私たちの場合は PAS イベントです。ローカル変数に移動して GetActiveListValue 変数を作成します。ステップ 1 のアクティブリストを指定し、ユーザー ID を含むフィールドを選択します(ここでは、送信先ユーザー ID と仮定します)。この変数はアクティブリストからユーザー ID に対応するユーザー名を取得します。
- アクションタブに移動し、’すべてのイベントで’ トリガーに ‘イベントフィールドを設定’ アクションを追加します。送信先ユーザー名フィールドをアクティブリストからのユーザー名で豊かにしたいので、新しく作成された変数(ステップ 2 から)を送信先ユーザー名フィールドの隣に選択してください。
アクションは以下のようになります。
- ルールを保存します。このルールをリアルタイムルールとして展開します。
すべての新しいイベントは、アクティブリストからのユーザー名で充実されます。
このシナリオには考慮するべき点があります。それは新しい情報で更新されたアクティブリストです。
ユーザー名が一致しないアクティブリストのユーザー ID のイベントでは、送信先ユーザー名フィールドが空白になります。
この記事では、ArcSight イベントを充実させて効率的なユースケースを作成し、調査中の手間を省くための方法の一つを紹介しました。
この記事の次の部分では、この課題を達成するための他の2つの方法をご紹介します。
ご期待ください。安全にお過ごしください。
