目 录 2
第一章 关于ARCSIGHT ESM 8
ARCSIGHT 发送日志实用程序 8
用户角色 8
通过ESM的用户路径 11
第二章 ARCSIGHT 企业安全管理 13
ESM启用态势感知 13
ESM 解析 14
SMARTCONNECTORS 15
ArcSight管理中心 16
支持的数据源 16
FlexConnector 18
Forwarding Connector 18
ARCSIGHT MANAGER 18
CORR-ENGINESTORAGE 18
用户接口 18
ArcSight 命令中心 19
ArcSight 控制台 19
用例 19
ArcSight风险洞察 19
交互式发现 20
模式发现 21
设备上的ESM 21
Logger 21
ArcSight解决方案 22
关于资源 22
第三章 ESM事件的生命周期 25
第四章 数据收集和事件处理 27
收集事件数据 27
规范化事件数据 28
事件严重性 29
应用事件类别 29
有关ESM事件类别的所有默认值的详细信息,请参阅ArcSight控制台帮助主题类别。事件分类实用程序 31
在网络模型中查找客户和区域 32
筛选和聚合事件 33
配置 SmartConnectors 以筛选出事件 33
将 SmartConnector 配置为聚合事件 33
配置 SmartConnector 以执行命令 34
管理SMARTCONNECTOR配置 34
第五章 优先级评估和网络模型查找 35
查找网络模型 35
查找ACTOR模型 35
优先评级 36
评估优先级公式 37
将事件写入CORR引擎存储 39
第六章 工作流 40
注释 41
案例 42
阶段 42
用户和用户组 44
通知 45
通知如何工作 45
通知组 46
升级级别 46
通知目标 46
通知确认 46
知识库 46
参考页面 47
资源组的引用页 47
事件的参考页 47
漏洞的参考页 47
第七章 相关性评估 48
相关性概述 48
过滤器-FILTERS 49
命名条件 (过滤器资源) 50
未命名的条件 50
活动通道中的过滤器 50
过滤器调试 51
规则-RULES 51
规则如何工作 51
标准规则 52
联接-join 52
轻量级和预持久性规则 52
规则聚合 53
如何评估规则 53
规则操作和阈值 54
规则触发的相关事件 54
规则如何使用活动列表 55
活动列表的工作方式 56
规则如何使用会话列表 58
在规则通道中测试标准规则 58
在实时规则中部署标准规则 58
数据监视器 60
基于事件的数据监视器 60
相关数据监视器 61
基于非事件的数据监视器 62
关联如何使用本地和全局变量 63
VELOCITY模板 64
Velocity 应用点 64
用于检索值的Velocity表达式示例 65
事件类型 66
原始事件 66
事件类型数据字段中的事件类型 67
其他类型的规范化事件 67
过滤事件 68
监测ESM的审计事件 68
第八章 监控和调查 70
活动频道 70
实时频道 72
规则频道 73
资源频道 73
字段设置 74
可排序的字段集 74
字段和全局变量 74
仪表板 74
事件图数据监视器 75
事件图作为监视工具 76
事件图作为调查分析工具 77
自定义视图仪表板 78
查询查看器 78
查询查看器作为调查和分析工具 79
保存的搜索和搜索筛选器 81
对等方之间的分布式搜索 81
集成命令 82
第三方集成方案 82
集成命令的工作方式 82
支持的命令类型 84
如何使用可用命令 84
在监视和调查过程中使用集成命令 85
使用利用网络模型的集成命令 85
第九章 报告和事件分析 86
报告 86
查询 87
趋势 88
快照趋势 88
间隔趋势 89
趋势怎样工作 89
模板 90
报告 91
存档报告 92
增量报告 92
重点报告 92
作业计划程序 92
计划作业管理器 93
ARCSIGHT模式发现 94
模式发现输出: 快照和模式 94
ARCSIGHT交互式发现 95
第十章 CORR引擎 97
CORR-引擎事件存储 97
有效保留期限 98
档案 99
基于时间和空间的存储保留 99
系统存储 99
CORR引擎存储管理 99
第十一章 事件模式 101
事件数据字段 101
事件字段组 101
事件模式中的设备和资产 104
事件模式中的设备 105
事件模式中的资产 106
事件模式中的备用接口 106
网络中的设备和连接器 107
源/目标、攻击者/目标: 外部攻击 108
源/目标、攻击者/目标: 特洛伊木马攻击 108
目的地/目标 仅:SysLog重新启动报告 109
设
1