Conexión a un origen de datos Micro Focus ArcSight

Editar en línea

Conecte el origen de datos de Micro Focus ArcSight a la plataforma para permitir que las aplicaciones y los paneles de control recopilen y analicen datos de seguridad de Micro Focus ArcSight . Los conectores de Universal Data Insights habilitan la búsqueda federada en los productos de seguridad.

Antes de empezar

Colabore con un administrador de ArcSight para recibir sucesos de ArcSight Enterprise Security Manager realizando los pasos de Configuración de la autenticación y generación de certificados de ArcSight.

Si tiene un cortafuegos entre el clúster y el destino de origen de datos, utilice IBM® Security Edge Gateway para alojar los contenedores. El Edge Gateway debe ser V1.6 o posterior. Para obtener más información, consulte Configuración de Edge Gateway.

Acerca de esta tarea

ArcSight es una solución de detección y respuesta de amenazas en tiempo real que utiliza la analítica de seguridad de Security Information and Event Management (SIEM)inteligente. Utilice el conector para recuperar registros de ArcSight Enterprise Security Manager.

El conector Micro Focus ArcSight está diseñado para funcionar con ArcSight Logger 7.1.

Para obtener más información sobre ArcSight, consulte ArcSight Security Information and Event Management (https://www.microfocus.com/en-us/products/siem-security-information-event-management/overview).

Información de amenazas estructurada eXpression (STIX) es un lenguaje y formato de serialización que las organizaciones utilizan para intercambiar inteligencia de ciberamenazas. El conector de Micro Focus ArcSight utiliza el patrón STIX para consultar datos de ArcSight y devuelve los resultados como objetos STIX . Para obtener más información sobre cómo se correlaciona el esquema de datos de Micro Focus ArcSight con STIX, consulte Correlación deMicro Focus ArcSight STIX (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/arcsight_supported_stix.md).

Procedimiento

  1. Vaya a Menú > Connections > Orígenes de datos.
  2. En la pestaña Orígenes de datos , pulse Conectar un origen de datos.
  3. Pulse Micro Focus ArcSighty, a continuación, pulse Siguiente.
  4. Configure la conexión con el origen de datos.
    1. En el campo Nombre de origen de datos , asigne un nombre para identificar de forma exclusiva la conexión de origen de datos.
      Puede crear varias instancias de conexión a un origen de datos, de modo que es buena idea distinguirlas por su nombre. Solo están permitidos los caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    2. En el campo Descripción de origen de datos , escriba una descripción para indicar la finalidad de la conexión de origen de datos.
      Puede crear varias instancias de conexión a un origen de datos, por lo que es útil indicar claramente el propósito de cada conexión mediante una descripción. Solo están permitidos los caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    3. Si tiene un cortafuegos entre el clúster y el destino de origen de datos, utilice Edge Gateway para alojar los contenedores. En el campo Pasarela de Edge (opcional) , especifique qué Edge Gateway desea utilizar.
      Seleccione un Edge Gateway para alojar el conector. El estado de las conexiones de origen de datos recién desplegadas en Edge Gateway puede tardar hasta cinco minutos en mostrarse como conectado.
    4. En el campo Dirección IP o nombre de host del registradorArcSight , establezca la dirección IP o el nombre de host del ArcSight Logger para que la plataforma pueda comunicarse con él. El nombre de host se puede encontrar en la consola de ArcSight Logger en la sección siguiente: Conexiones > Sistema > Estado de proceso.
    5. En el campo Puerto de host , establezca el número de puerto asociado con el host de origen de datos. El puerto predeterminado es 443.
  5. Configure los parámetros de consulta que controlan el comportamiento de la consulta de búsqueda en el origen de datos.
    1. En el campo Límite de búsqueda simultánea , establezca el número de conexiones simultáneas que se pueden realizar con el origen de datos. El límite predeterminado para el número de conexiones es 4. El valor no debe ser menor que 1 y ni mayor que 100.
    2. En el campo Límite de tiempo de espera de búsqueda de consulta , establezca el límite de tiempo en minutos para el tiempo durante el que se ejecuta la consulta en el origen de datos. El límite de tiempo predeterminado es 30. Si el valor se establece en cero, no hay tiempo de espera. El valor no debe ser inferior a 1 ni superior a 120.
    3. En el campo Límite de tamaño de resultado , establezca el número máximo de entradas u objetos devueltos por la consulta de búsqueda. El límite predeterminado del tamaño del resultado es 10.000. El valor no debe ser menor que 1 y no debe ser mayor que 500.000.
    4. En el campo Rango de tiempo de consulta , establezca el rango de tiempo en minutos para la búsqueda, representado como la última X minutos. El valor predeterminado es 5 minutos. El valor no debe ser inferior a 1 y no debe ser superior a 10.000.
    Importante: Si aumenta el límite de búsqueda simultánea y el límite de tamaño de resultado, se puede enviar una mayor cantidad de datos al origen de datos, lo que aumenta la tensión en el origen de datos. Aumentar el rango de tiempo de consulta también aumenta la cantidad de datos.
  6. Opcional: Si ArcSight está configurado con un certificado SSL (Security Sockets Layer) autofirmado, añada un certificado de conexión.
    1. Especifique el certificado autofirmado que se ha configurado en ArcSight Logger.
    2. Si el valor de nombre de host o la dirección IP no coincide con el valor de nombre común, debe proporcionar un indicador de nombre de servidor (SNI). SNI permite que se suministre un nombre de host separado en el reconocimiento TLS (Transport Layer Security) de la conexión de recursos.
    3. Copie los detalles del certificado y péguelo en el espacio que se proporciona y, a continuación, pulse Terminado.
  7. Opcional: Si necesita personalizar la correlación de atributos STIX, pulse Personalizar correlación de atributos y edite el blob JSON para correlacionar las propiedades nuevas o existentes con sus campos de origen de datos de destino asociados.
  8. Configure la identidad y el acceso.
    1. Pulse Añadir una configuración.
    2. En el campo Nombre de configuración , especifique un nombre exclusivo para describir la configuración de acceso y distinguirla de las otras configuraciones de acceso para esta conexión de origen de datos que puede configurar. Solo se permiten caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    3. En el campo Descripción de configuración , especifique una descripción exclusiva para describir la configuración de acceso y distinguirla de las otras configuraciones de acceso para esta conexión de origen de datos que puede configurar. Solo se permiten caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    4. Pulse Editar acceso y elija qué usuarios pueden conectarse al origen de datos y el tipo de acceso.
    5. Especifique un nombre de usuario y una contraseña con acceso a ArcSight Logger.
    6. Pulse Añadir.
    7. Para guardar la configuración y establecer la conexión, pulse Terminado.
    Verá la configuración de conexión de origen de datos que ha añadido bajo Conexiones en la página Valores de origen de datos. Un mensaje en la tarjeta indica conexión con el origen de datos.
    Cuando añade un origen de datos, puede tardar unos minutos antes de que el origen de datos se muestre como conectado.
    Sugerencia: Después de conectar un origen de datos, puede tardar hasta 30 segundos en recuperar los datos. Antes de que se devuelva el conjunto de datos completo, es posible que el origen de datos se muestre como no disponible. Una vez devueltos los datos, el origen de datos se muestra como conectado y se produce un mecanismo de sondeo para validar el estado de conexión. El estado de conexión es válido durante 60 segundos después de cada sondeo.

    Puede añadir otras configuraciones de conexión para este origen de datos que tengan distintos usuarios y distintos permisos de acceso a datos.

  9. Para editar las configuraciones, realice los pasos siguientes:
    1. En el separador Orígenes de datos , seleccione la conexión de origen de datos que desea editar.
    2. En la sección Configuraciones , pulse Editar configuración (Icono Editar configuración).
    3. Edite los parámetros de identidad y acceso y pulse Guardar.

Qué hacer a continuación

Pruebe la conexión ejecutando una consulta con IBM Security Data Explorer. Para utilizar Data Explorer, debe tener orígenes de datos conectados para que la aplicación pueda ejecutar consultas y recuperar resultados en un conjunto unificado de orígenes de datos. Los resultados de la búsqueda varían en función de los datos que incluyen los orígenes de datos configurados. Para obtener más información sobre cómo crear una consulta en Data Explorer, consulte Crear una consulta.