Connessione a un'origine dati Micro Focus ArcSight

Modifica in linea

Connettere l'origine dati Micro Focus ArcSight alla piattaforma per consentire alle applicazioni e ai dashboard di raccogliere e analizzare i dati di sicurezza Micro Focus ArcSight . I connettori Universal Data Insights abilitano la ricerca federata tra i tuoi prodotti di sicurezza.

Prima di iniziare

Collabora con un amministratore ArcSight per ricevere eventi da ArcSight Enterprise Security Manager completando la procedura in Configurazione dell'autenticazione ArcSight e della generazione del certificato.

Se hai un firewall tra il tuo cluster e la destinazione dell'origine dati, utilizza IBM® Security Edge Gateway per ospitare i contenitori. Edge Gateway deve essere V1.6 o successiva. Per ulteriori informazioni, vedi Configurazione di Edge Gateway.

Informazioni su questa attività

ArcSight è una soluzione di rilevamento e risposta delle minacce in tempo reale che utilizza l'analytics di sicurezza di Security Information and Event Management (SIEM)intelligente. Utilizzare il connettore per recuperare i log da ArcSight Enterprise Security Manager.

Il connettore Micro Focus ArcSight è progettato per funzionare con ArcSight Logger 7.1.

Per ulteriori informazioni su ArcSight, consultare ArcSight Security Information and Event Management (https://www.microfocus.com/en-us/products/siem-security-information-event-management/overview).

Structured Threat Information eXpression (STIX) è un linguaggio e un formato di serializzazione che le aziende utilizzano per scambiare informazioni sulle minacce informatiche. Il connettore Micro Focus ArcSight utilizza la creazione di modelli STIX per interrogare i dati ArcSight e restituisce i risultati come oggetti STIX . Per ulteriori informazioni su come lo schema dati Micro Focus ArcSight viene associato a STIX, consultare Micro Focus ArcSight STIX Mappatura (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/arcsight_supported_stix.md).

Procedura

  1. Andare a Menu > Connessioni > Origini dati.
  2. Nella scheda Origini dati , fare clic su Connetti un'origine dati.
  3. Fare clic su Micro Focus ArcSight, quindi fare clic su Avanti.
  4. Configurare la connessione all'origine dati
    1. Nel campo Nome origine dati , assegnare un nome per identificare in modo univoco la connessione all'origine dati.
      È possibile creare più istanze di connessione a una origine dati in modo che sia utile distinguerle chiaramente per nome. Sono consentiti solo caratteri alfanumerici e i seguenti caratteri speciali: - . _
    2. Nel campo Descrizione origine dati , scrivere una descrizione per indicare lo scopo della connessione dell'origine dati.
      È possibile creare più istanze di connessione a una origine dati, quindi è utile indicare chiaramente lo scopo di ciascuna connessione in base alla descrizione. Sono consentiti solo caratteri alfanumerici e i seguenti caratteri speciali: - . _
    3. Se hai un firewall tra il tuo cluster e la destinazione dell'origine dati, utilizza Edge Gateway per ospitare i contenitori. Nel campo Edge gateway (facoltativo) , specificare quale Edge Gateway utilizzare.
      Selezionare un Edge Gateway per ospitare il connettore. Potrebbero essere necessari fino a cinque minuti per visualizzare lo stato delle connessioni alle origini dati appena distribuite su Edge Gateway come connesse.
    4. Nel campo ArcSight logger IP address or Hostname , impostare l'indirizzo IP o il nome host di ArcSight Logger in modo che la piattaforma possa comunicare con esso. Il nome host può essere trovato nella console ArcSight Logger nella sezione seguente: Connections > System > Process Status.
    5. Nel campo Porta host , impostare il numero di porta associato all'host dell'origine dati. La porta è 443 per impostazione predefinita.
  5. Impostare i parametri di query per controllare il comportamento della query di ricerca sull'origine dati
    1. Nel campo Limite ricerca simultanea , impostare il numero di connessioni simultanee che possono essere effettuate all'origine dati. Il limite predefinito per il numero di connessioni è di 4. Il valore non deve essere minore di 1 e non deve essere maggiore di 100.
    2. Nel campo Limite timeout di ricerca query , impostare il limite di tempo in minuti per il tempo di esecuzione della query sull'origine dati. Il limite di tempo predefinito è di 30 minuti. Quando il valore è impostato su zero, non si verifica alcun timeout. Il valore non deve essere minore di 1 e non deve essere maggiore di 120.
    3. Nel campo Limite dimensione risultato , impostare il numero massimo di voci o oggetti restituiti dalla query di ricerca. Il limite di dimensione del risultato predefinito è di 10.000. Il valore non deve essere minore di 1 e non deve essere maggiore di 500.000.
    4. Nel campo Intervallo di tempo query , impostare l'intervallo di tempo in minuti per la ricerca, rappresentato come gli ultimi X minuti. Il valore predefinito è 5 minuti. Il valore non deve essere minore di 1 e non deve essere maggiore di 10.000.
    Importante: se si aumenta il limite di ricerca simultanei e il limite di dimensione del risultato, è possibile inviare una maggiore quantità di dati all'origine dati, il che aumenta la pressione sull'origine dati. Aumentando la gamma di tempo di query aumenta anche la quantità di dati.
  6. Facoltativo: se ArcSight è configurato con un certificato SSL (Security Sockets Layer) autofirmato, aggiungere un certificato di connessione.
    1. Specificare il certificato autofirmato configurato in ArcSight Logger.
    2. Se il valore del nome host o dell'indirizzo IP non corrisponde al valore del nome comune, è necessario fornire un SNI (Server Name Indicator). SNI abilita un nome host separato da fornire all'handshake TLS (Transport Layer Security) della connessione della risorsa.
    3. Copiare i dettagli del certificato e incollarli nello spazio fornito, quindi fare clic su Fatto.
  7. Facoltativo: se è necessario personalizzare l'associazione degli attributi STIX, fare clic su Personalizza associazione attributi e modificare il blob JSON per associare le proprietà nuove o esistenti ai campi dell'origine dati di destinazione associati.
  8. Configurare l'identità e l'accesso.
    1. Fare clic su Aggiungi una configurazione.
    2. Nel campo Nome configurazione , immettere un nome univoco per descrivere la configurazione di accesso e distinguerla dalle altre configurazioni di accesso per questa connessione all'origine dati che è possibile impostare. Sono consentiti solo caratteri alfanumerici e i seguenti caratteri speciali: - . _
    3. Nel campo Descrizione configurazione , immettere una descrizione univoca per descrivere la configurazione di accesso e distinguerla dalle altre configurazioni di accesso per questa connessione all'origine dati che è possibile impostare. Sono consentiti solo caratteri alfanumerici e i seguenti caratteri speciali: - . _
    4. Fare clic su Modifica accesso e scegliere quali utenti possono connettersi all'origine dati e il tipo di accesso.
    5. Immettere un nome utente e una password con accesso a ArcSight Logger.
    6. Fare clic su Aggiungi.
    7. Per salvare la propria configurazione e stabilire la connessione, fare clic su Fine.
    È possibile visualizzare la configurazione della connessione all'origine dati aggiunta in Connections nella pagina delle impostazioni dell'origine dati. Un messaggio sulla scheda indica la connessione con l'origine dati.
    Quando si aggiunge un'origine dati, potrebbero essere necessari alcuni minuti prima che l'origine dati venga visualizzata come connessa.
    Suggerimento: dopo aver connesso un'origine dati, potrebbero essere necessari fino a 30 secondi per richiamare i dati. Prima che venga restituito il dataset completo, l'origine dati potrebbe essere visualizzata come non disponibile. Una volta restituiti i dati, l'origine dati viene visualizzata come connessa e si verifica un meccanismo di polling per convalidare lo stato della connessione. Lo stato della connessione è valido per 60 secondi dopo ogni polling.

    È possibile aggiungere altre configurazioni di connessione per questa sorgente dati che hanno utenti diversi e differenti permessi di accesso ai dati.

  9. Per modificare le configurazioni, completare la seguente procedura:
    1. Nella scheda Origini dati , selezionare la connessione all'origine dati che si desidera modificare.
    2. Nella sezione Configurazioni , fare clic su Modifica configurazione (Icona Modifica configurazione).
    3. Modificare i parametri di identità e di accesso e fare clic su Salva.

Operazioni da eseguire successivamente

Verificare la connessione eseguendo una query con IBM Security Data Explorer. Per utilizzare Data Explorer, è necessario disporre di origini dati connesse in modo che l'applicazione possa eseguire query e richiamare risultati in una serie unificata di origini dati. I risultati della ricerca variano a seconda dei dati che sono contenuti nelle tue origini dati configurate. Per ulteriori informazioni su come creare una query in Data Explorer, vedi Crea una query.