Настройка соединения с источником данных Micro Focus ArcSight

Для настройки соединения между IBM Cloud Pak® for Security и Micro Focus ArcSight для запроса данных из этого источника данных выполните приведенную здесь процедуру.

1. Войдите в IBM Cloud Pak for Security.
2. На панели навигации щелкните на значке Параметры.
3. Выберите Соединения > Источники данных.
4. На вкладке Источники данных выберите Подключиться к источнику данных.
5. Выберите тип источника данных.
6. Настройте соединение, чтобы IBM Cloud Pak for Security мог подключаться к источнику данных.
   Доступны следующие поля.

   Имя соединения

   Обязательный

   Укажите имя, однозначно идентифицирующее соединение с источником данных. С одним источником данных можно создать несколько соединений, и их нужно уметь отличать друг от друга по имени. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _

   Описание соединения

   Обязательный

   Введите описание, отражающее предназначение соединения с источником данных. С одним источником данных можно создать несколько соединений, поэтому каждое из них рекомендуется сопроводить описанием того, для чего оно используется. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _

   App Host

   Необязательный

   Для того чтобы разместить контейнеры, необходимые для взаимодействия между источниками данных и IBM Cloud Pak for Security, в Edge Gateway App Host выберите соответствующий App Host. Выбранный Edge Gateway App Host должен иметь версию 1.6 или выше. Дополнительную информацию о компоненте Edge Gateway App Host можно найти в разделе Edge Gateway App Host.

   IP-адрес или имя хоста ArcSight Logger

   Обязательный

   Укажите IP-адрес или имя хоста ArcSight Logger, чтобы к нему мог обращаться IBM Cloud Pak for Security. Имя хоста показано на консоли ArcSight Logger в следующем разделе: Соединения > Система > Состояние процесса.

   Порт хоста

   Необязательный

   Укажите или выберите номер порта, связанный с хостом источника данных. По умолчанию применяется порт 443.

7. Укажите параметры запроса, управляющие выполнением запроса поиска в источнике данных.
   Доступны следующие поля:

   Максимальное значение одновременно выполняемых операций поиска

   Число одновременных соединений между Cloud Pak for Security и источником данных. По умолчанию максимальное число соединений равно 4.

   Предельное значение тайм-аута запроса

   Максимальное время выполнения запроса в источнике данных в минутах. Значение по умолчанию равно 1. Если значение равно нулю, время не ограничено. Если время выполнения запроса составляет более 1 минуты, то это как правило свидетельствует о неполадке.

   Максимальный размер результатов

   Максимальное число записей или объектов, возвращаемых одним запросом поиска. Значение по умолчанию равно 10 000. Допустимы значения от 1 до 10 000.

   Диапазон времени запроса

   Диапазон времени поиска в минутах, определяющий последние X минут. Значение по умолчанию равно 5 минутам.

8. Необязательно: Если в ArcSight настроен собственный сертификат SSL, добавьте сертификат соединения.
   1. Укажите собственный сертификат, настроенный в ArcSight Logger.
   2. Если имя хоста или IP-адрес не соответствуют значению поля Common Name, то необходимо задать индикатор имени сервера (SNI). SNI позволяет задать отдельное имя хоста при выполнении согласования TLS для соединения с ресурсом.
   3. Скопируйте сведения о сертификате и вставьте их в соответствующее поле, а затем нажмите Готово.
9. Нажмите Добавить конфигурацию.
10. Настройте идентификационные данные и доступ.
    1. В поле Имя конфигурации укажите имя, однозначно определяющее конфигурацию доступа и позволяющее отличить ее от других конфигураций доступа, которые могут быть настроены для данного соединения с источником данных. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    2. В поле Описание конфигурации укажите описание, однозначно определяющее конфигурацию доступа и позволяющее отличить ее от других конфигураций доступа, которые могут быть настроены для данного соединения с источником данных. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    3. Нажмите Изменить права доступа и выберите, каким пользователям разрешено подключаться к источнику данных и какой доступ им должен быть предоставлен.
    4. Нажмите Добавить.
    5. Укажите имя и пароль пользователя, которому предоставлен доступ к ArcSight Logger.
    6. Для того чтобы сохранить конфигурацию и установить соединение, нажмите Готово.
    Добавленная конфигурация соединения с источником данных будет показана в списке Соединения на странице параметров источника данных. Соединение с источником данных указано в сообщении на карточке.

    При необходимости можно добавить другие конфигурации соединения с тем же источником данных для других пользователей с другими правами доступа.

11. Протестируйте соединение, отправив запрос через IBM Security Data Explorer.

    Продукт IBM Cloud Pak for Security отображает данные, которые он получает из источника данных. Например, для использования Data Explorer должны быть установлены соединения с источниками данных, для того чтобы приложение могло выполнять запросы и получать результаты из универсального набора источников данных. Поиск будет давать разные результаты в зависимости от данных, содержащихся в настроенных источниках данных.

    За дополнительной информацией о создании запроса в Data Explorer обратитесь к разделу Создание запроса.