连接到 Micro Focus ArcSight 数据源

在线编辑

Micro Focus ArcSight 数据源连接到平台,以使应用程序和仪表板能够收集和分析 Micro Focus ArcSight 安全数据。 Universal Data Insights 连接器支持跨安全产品进行联合搜索。

在开始之前

通过完成 配置 ArcSight 认证和证书生成中的步骤,与 ArcSight 管理员协作从 ArcSight Enterprise Security Manager 接收事件。

如果集群与数据源目标之间存在防火墙,请使用 IBM® Security Edge Gateway 来托管容器。 Edge Gateway 必须是 V1.6 或更高版本。 有关更多信息,请参阅 设置边缘网关

关于此任务

ArcSight 是使用智能 Security Information and Event Management (SIEM)的安全分析的实时威胁检测和响应解决方案。 使用连接器从 ArcSight Enterprise Security Manager检索日志。

Micro Focus ArcSight 连接器旨在与 ArcSight Logger 7.1配合使用。

有关 ArcSight的更多信息,请参阅 ArcSight 安全信息和事件管理 (https://www.microfocus.com/en-us/products/siem-security-information-event-management/overview)。

结构化威胁信息 eXpression (STIX) 是组织用于交换网络威胁情报的语言和序列化格式。 Micro Focus ArcSight 连接器使用 STIX 图案化来查询 ArcSight 数据,并将结果作为 STIX 对象返回。 有关 Micro Focus ArcSight 数据模式如何映射到 STIX的更多信息,请参阅 Micro Focus ArcSight STIX 映射 (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/arcsight_supported_stix.md)。

程序

  1. 转至 菜单 > 连接 > 数据源
  2. 数据源 选项卡上,单击 连接数据源
  3. 单击 Micro Focus ArcSight,然后单击 下一步
  4. 配置与数据源的连接。
    1. 数据源名称 字段中,分配用于唯一标识数据源连接的名称。
      可以为某个数据源创建多个连接实例,因此最好能按名称将这些实例清晰地区分开。 仅允许使用字母数字字符和以下特殊字符: - . _
    2. 数据源描述 字段中,编写描述以指示数据源连接的用途。
      您可以为某个数据源创建多个连接实例,因此按描述清晰地指示每个连接的目的非常有用。 仅允许使用字母数字字符和以下特殊字符: - . _
    3. 如果集群与数据源目标之间存在防火墙,请使用 Edge Gateway 来托管容器。 在 边缘网关 (可选) 字段中,指定要使用的 Edge Gateway
      选择 Edge Gateway 以托管连接器。 Edge Gateway 上新部署的数据源连接的状态最多可能需要 5 分钟才能显示为已连接。
    4. ArcSight 记录器 IP 地址或主机名 字段中,设置 ArcSight Logger 的 IP 地址或主机名,以便平台可以与其进行通信。 可以在 ArcSight Logger 控制台的以下部分中找到主机名: 连接 > 系统 > 进程状态
    5. 主机端口 字段中,设置与数据源主机关联的端口号。 缺省情况下,端口为 443。
  5. 设置查询参数以控制针对数据源的搜索查询的行为。
    1. 并发搜索限制 字段中,设置可以与数据源建立的并发连接数。 连接数量缺省限制为 4。 此值不能小于 1 并且不能大于 100。
    2. 查询搜索超时限制 字段中,设置在数据源上运行查询的时间限制 (以分钟为单位)。 缺省时间限制为 30。 该值设置为零时,表示没有超时。 此值不能小于 1 并且不能大于 120。
    3. 结果大小限制 字段中,设置搜索查询返回的最大条目数或对象数。 缺省结果大小限制为 10,000。 该值不得小于 1 且不得大于 500,000。
    4. 查询时间范围 字段中,设置搜索的时间范围 (以分钟为单位) ,表示为最后的 X 分钟。 缺省值为 5 分钟。 该值不得小于 1,并且不得大于 10,000。
    重要信息: 如果增加并发搜索限制和结果大小限制,那么可以将更多的数据发送到数据源,这将增加对数据源的压力。 增大查询时间范围还会增加数据量。
  6. 可选: 如果 ArcSight 配置了自签名安全套接字层 (SSL) 证书,请添加连接证书。
    1. 指定在 ArcSight Logger中配置的自签名证书。
    2. 如果您的主机名或 IP 地址值与通用名称值不匹配,那么您必须提供服务器名称指示符 (SNI)。 SNI 允许向资源连接的传输层安全性 (TLS) 握手提供单独的主机名。
    3. 复制证书详细信息并将其粘贴到提供的空间中,然后单击 完成
  7. 可选: 如果需要定制 STIX 属性映射,请单击 定制属性映射 并编辑 JSON blob 以将新属性或现有属性映射到其关联的目标数据源字段。
  8. 配置身份和访问权。
    1. 单击 添加配置
    2. 配置名称 字段中,输入唯一名称以描述访问配置,并将其与您可能设置的此数据源连接的其他访问配置区分开。 仅允许使用字母数字字符和以下特殊字符: - . _
    3. 配置描述 字段中,输入唯一描述以描述访问配置,并将其与您可能设置的此数据源连接的其他访问配置区分开。 仅允许使用字母数字字符和以下特殊字符: - . _
    4. 单击 编辑访问权 ,然后选择哪些用户可以连接到数据源和访问权类型。
    5. 输入有权访问 ArcSight Logger的用户名和密码。
    6. 单击 添加
    7. 要保存配置并建立连接,请单击 完成
    您可以在“数据源设置”页面的“连接”下看到已添加的数据源连接配置。 卡片上的消息指示与数据源的连接。
    添加数据源时,可能需要几分钟时间才能将数据源显示为已连接。
    提示: 连接数据源后,检索数据可能需要最多 30 秒。 在返回完整数据集之前,数据源可能会显示为不可用。 返回数据后,数据源将显示为正在连接,并且将发生轮询机制以验证连接状态。 连接状态在每次轮询后 60 秒内有效。

    可以为此数据源添加具有不同用户和不同访问许可权的其他连接配置。

  9. 要编辑配置,请完成以下步骤:
    1. 数据源 选项卡上,选择要编辑的数据源连接。
    2. 在 " 配置 " 部分中,单击 编辑配置 ("编辑配置" 图标)。
    3. 编辑身份和访问权参数,然后单击 保存

后续步骤

通过使用 IBM Security Data Explorer 运行查询来测试连接。 要使用 Data Explorer,您必须具有已连接的数据源,以便应用程序可以在一组统一的数据源中运行查询和检索结果。 搜索结果根据配置的数据源中包含的数据的不同而不同。 有关如何在 Data Explorer中构建查询的更多信息,请参阅 构建查询