ESM基本概念（ESM_101_6.9.1 中文翻译）.pdf

目 录 2 第一章 关于ARCSIGHT ESM 8 ARCSIGHT 发送日志实用程序 8 用户角色 8 通过ESM的用户路径 11 第二章 ARCSIGHT 企业安全管理 13 ESM启用态势感知 13 ESM 解析 14 SMARTCONNECTORS 15 ArcSight管理中心 16 支持的数据源 16 FlexConnector 18 Forwarding Connector 18 ARCSIGHT MANAGER 18 CORR-ENGINESTORAGE 18 用户接口 18 ArcSight 命令中心 19 ArcSight 控制台 19 用例 19 ArcSight风险洞察 19 交互式发现 20 模式发现 21 设备上的ESM 21 Logger 21 ArcSight解决方案 22 关于资源 22 第三章 ESM事件的生命周期 25 第四章 数据收集和事件处理 27 收集事件数据 27 规范化事件数据 28 事件严重性 29 应用事件类别 29 有关ESM事件类别的所有默认值的详细信息，请参阅ArcSight控制台帮助主题类别。事件分类实用程序 31 在网络模型中查找客户和区域 32 筛选和聚合事件 33 配置 SmartConnectors 以筛选出事件 33 将 SmartConnector 配置为聚合事件 33 配置 SmartConnector 以执行命令 34 管理SMARTCONNECTOR配置 34 第五章 优先级评估和网络模型查找 35 查找网络模型 35 查找ACTOR模型 35 优先评级 36 评估优先级公式 37 将事件写入CORR引擎存储 39 第六章 工作流 40 注释 41 案例 42 阶段 42 用户和用户组 44 通知 45 通知如何工作 45 通知组 46 升级级别 46 通知目标 46 通知确认 46 知识库 46 参考页面 47 资源组的引用页 47 事件的参考页 47 漏洞的参考页 47 第七章 相关性评估 48 相关性概述 48 过滤器-FILTERS 49 命名条件 (过滤器资源) 50 未命名的条件 50 活动通道中的过滤器 50 过滤器调试 51 规则-RULES 51 规则如何工作 51 标准规则 52 联接-join 52 轻量级和预持久性规则 52 规则聚合 53 如何评估规则 53 规则操作和阈值 54 规则触发的相关事件 54 规则如何使用活动列表 55 活动列表的工作方式 56 规则如何使用会话列表 58 在规则通道中测试标准规则 58 在实时规则中部署标准规则 58 数据监视器 60 基于事件的数据监视器 60 相关数据监视器 61 基于非事件的数据监视器 62 关联如何使用本地和全局变量 63 VELOCITY模板 64 Velocity 应用点 64 用于检索值的Velocity表达式示例 65 事件类型 66 原始事件 66 事件类型数据字段中的事件类型 67 其他类型的规范化事件 67 过滤事件 68 监测ESM的审计事件 68 第八章 监控和调查 70 活动频道 70 实时频道 72 规则频道 73 资源频道 73 字段设置 74 可排序的字段集 74 字段和全局变量 74 仪表板 74 事件图数据监视器 75 事件图作为监视工具 76 事件图作为调查分析工具 77 自定义视图仪表板 78 查询查看器 78 查询查看器作为调查和分析工具 79 保存的搜索和搜索筛选器 81 对等方之间的分布式搜索 81 集成命令 82 第三方集成方案 82 集成命令的工作方式 82 支持的命令类型 84 如何使用可用命令 84 在监视和调查过程中使用集成命令 85 使用利用网络模型的集成命令 85 第九章 报告和事件分析 86 报告 86 查询 87 趋势 88 快照趋势 88 间隔趋势 89 趋势怎样工作 89 模板 90 报告 91 存档报告 92 增量报告 92 重点报告 92 作业计划程序 92 计划作业管理器 93 ARCSIGHT模式发现 94 模式发现输出: 快照和模式 94 ARCSIGHT交互式发现 95 第十章 CORR引擎 97 CORR-引擎事件存储 97 有效保留期限 98 档案 99 基于时间和空间的存储保留 99 系统存储 99 CORR引擎存储管理 99 第十一章 事件模式 101 事件数据字段 101 事件字段组 101 事件模式中的设备和资产 104 事件模式中的设备 105 事件模式中的资产 106 事件模式中的备用接口 106 网络中的设备和连接器 107 源/目标、攻击者/目标: 外部攻击 108 源/目标、攻击者/目标: 特洛伊木马攻击 108 目的地/目标 仅：SysLog重新启动报告 109 设