Adicionar o encaminhamento de eventos CEF no ESM de envio
- Em Propriedades do ESM, clique em Encaminhamento de evento e Adicionar.
- Adicione todas as informações apropriadas. Por exemplo:
- Formato = Syslog (Common Event Format)
- Selecione Enviar pacote se precisar do pacote bruto na recepção final. Além disso, para que o pacote funcione, você deve ativar Copiar pacote na política.
NOTA: Não ative Copiar pacote para todas as regras. Em vez disso, selecione um evento disparado e, em seguida, clique em Abrir, Mostrar regra. Com a política aberta, defina Copiar pacote como Ativado e, em seguida, distribua a política.
- Salve as alterações.
- Exporte sua lista de origens de dados atual a partir de Propriedades do Receptor, clicando em Origens de dados, Exportar. Isso gera o arquivo .csv que você usará nas próximas etapas.
Quando essas etapas forem concluídas, todos os eventos analisados pelo SIEM serão encaminhados e você poderá importar sua lista de origens de dados.
Importar a lista de origens de dados no novo receptor
- Obtenha a ID do novo receptor:
- Abra as Propriedades do Receptor para obter a ID do receptor.
- Em Nome e descrição, copie a ID. (Isso será semelhante a: 14411628758746548).
- Abra o arquivo .csv no editor de texto.
NOTA: Não abra o arquivo .csv no Microsoft Excel. Use um editor de texto, como o Bloco de Notas++ para obter resultados melhores.
- A primeira coluna (op) estará em branco. Adicione a seguinte palavra-chave a essa coluna: add. Você deverá adicionar essa palavra-chave a todas as linhas, exceto à primeira.
- A segunda coluna (rec_id) conterá a ID do receptor no qual realizou a exportação. Substitua-a pela ID do receptor que acabou de obter. Novamente, você deverá fazer isso para todas as linhas, exceto para a primeira. Por exemplo:
add, 14411628758746548 …..
- Salve o arquivo quando concluir.
- Importe as origens de dados para o SIEM Receiver abrindo as Propriedades do Receptor e clicando em Origens de dados, Importar.
- Quando a importação for concluída, adicione uma última origem de dados. A origem de dados deve ser da seguinte maneira:
- Fornecedor: ArcSight
- Modelo: Common Event Format (ASP)
- Endereço IP: IP do ESM de envio
- Preencha o restante conforme o necessário.
- Envie as origens de dados e a política por push.
Agora, os eventos são exibidos no novo SIEM Receiver da mesma maneira que apareciam no receptor original.
