Aggiungere CEF Event forwarding (Inoltra evento CEF) agli ESM inviati
- In ESM Properties (Proprietà ESM), fare clic su Event Forwarding (Inoltra evento), quindi su Aggiungi.
- Aggiungere tutte le informazioni necessarie. Ad esempio:
- Formato = Syslog (formato evento comune)
- Selezionare Invia pacchetto se è necessario il pacchetto non elaborato al termine della ricezione. Inoltre, affinché il pacchetto funzioni, è necessario attivare Copia pacchetto nella policy.
NOTA: non attivare Copia pacchetto per tutte le regole. Selezionare invece un evento attivato, quindi fare clic su Apri, Mostra regola. Quando la policy è aperta, impostare Copia pacchetto su Attivo, quindi implementare la policy.
- Salvare le modifiche.
- Esportare l'elenco attuale delle origini dati da Receiver Properties (Proprietà di Receiver) facendo clic su Origini dati, Esporta. Verrà creato un file .csv da usare nei passaggi successivi.
Una volta completati i passaggi, tutti gli eventi di cui SIEM ha eseguito il parsing vengono inoltrati ed è possibile importare l'elenco delle origini dati.
Importare l'elenco delle origini dati nel nuovo Receiver
- Ottenere l'ID Receiver per il nuovo Receiver:
- Aprire Proprietà di Receiver per ottenere l'ID Receiver.
- In Name and Description (Nome e descrizione), copiare l'ID (deve essere di tipo: 14411628758746548).
- Aprire il file .csv nell'editor di testo.
NOTA: non aprire il file .csv con Microsoft Excel. Usare un editor di testo come Notepad++ per ottenere i risultati migliori.
- La prima colonna (op) deve essere vuota. Aggiungere la seguente parola chiave a questa colonna: add. Aggiungere la parola chiave in tutte le righe tranne la prima.
- Nella seconda colonna (rec_id) si deve trovare l'ID Receiver del Receiver per il quale è stata eseguita l'esportazione. Sostituirlo con l'ID Receiver appena ottenuto. Anche questa volta, sostituirlo in tutte le righe tranne la prima. Ad esempio:
add, 14411628758746548 …..
- Una volta terminato, salvare il file.
- Importare le origini dati sul SIEM Receiver aprendo Receiver Properties (Proprietà di Receiver) e facendo clic su Origini dati, Importa.
- Una volta completata l'importazione, aggiungere un'ultima origine dati. L'origine dati deve essere come segue:
- Fornitore: ArcSight
- Modello: formato evento comune (ASP)
- Indirizzo IP: IP dell'ESM mittente
- (completare le altre informazioni come richiesto)
- Trascrivere le origini dati e distribuire la policy.
Ora gli eventi nel SIEM Receiver verranno visualizzati come nel Receiver originale.
