View detailed information in the source-system.

Idea ID 2806538

View detailed information in the source-system.

I propose to consider the development of a new version of the CEF protocol and the refinement of the Arcsight components in terms of support for the new field.

Developers of source systems will have the opportunity to transmit in this field the URL to a page  in the source system with a detailed description of the event, incident, correlation results, interactive attack graphs, etc. All that the developer of the source system deems important in helping the operator during the investigation...

It will require approval of a new version of the protocol, refinement and updating of connectors to support it, refinement and updating of other components. In particular, an opportunity should appear in the graphical interface (ESM, Logger), if this new field is not empty, click on the link in this field. By clicking on this object (or by clicking on a separate button in the interface, the URL will be navigated in this field of the active line), the browser will open (or in an already open browser, in a new tab) and the URL will go to the new field of this entry ...


Source systems either remain on the old versions of the protocol and work without problems, or the developers of these systems also implement support for the new version and allow Arcsight users to use the new features.


What will it give? - significantly increase the capabilities of both Arcsight and the end operator ... no need to look at two or more consoles and look for certain events separately...


It will be enough to look into the Arcsight interface and, if necessary, find out more information about the event / incident, in one click switch to the detailed description in the source system...
In my opinion, this functionality will be very popular among Arcsight users...

---------------------------

Просмотр детальной информации в системе-источнике.

Предлагаю рассмотреть разработку новой версии протокола CEF и доработку компонент Arcsight в части поддержки нового поля.

У разработчиков систем-источников появиться возможность передавать в данном поле URL на страницу в системе-источнике с подробным описанием события, инцидента, результатов корреляции, интерактивные графы атаки и т.д. Всё что разработчик системы-источника посчитает важным в помощи оператору при проведении расследования…

Потребуется утверждение новой версии протокола, доработка и обновление коннекторов для его поддержки, доработка и обновление других компонент. В частности, должна появиться возможность в графическом интерфейсе (ESM, Logger), если данное новое поле не пустое, перейти по ссылке в данном поле. По клику на данный объект (либо по клику на отдельную кнопку в интерфейсе, будет осуществлён переход по URL в данном поле активной строки) открывается браузер (либо в уже открытом браузере, в новой вкладке) и происходит переход по URL в новом поле данной записи…

Системы-источники, либо остаются на старых версиях протокола и без проблем работают, либо разработчики данных систем так же реализуют поддержку новой версии и позволяют пользователям Arcsight использовать новые возможности.

Что это даст? - значительно повысит возможности как Arcsight, так и конечного оператора... не нужно смотреть в две и более консоли и искать те или иные события по отдельности…

Достаточно будет смотреть в интерфейс Arcsight и, в случае необходимости узнать больше информации о событии/инциденте, в один клик переключаться на подробное описание в системе-источнике…

На мой взгляд, эта функциональность будет очень востребована у пользователей Arcsight...

1 Comment
Contributor.
Contributor.

Examples of pages in source systems that may require this functionality.
DDI2.PNGDDI1.PNGDDDNA1.jpg
To process and display this information using Arcsight, years of improvements and customizations will be required ... My proposal will allow you to use the capabilities of different systems with one-click switching to them.

The opinions expressed above are the personal opinions of the authors, not of Micro Focus. By using this site, you accept the Terms of Use and Rules of Participation. Certain versions of content ("Material") accessible here may contain branding from Hewlett-Packard Company (now HP Inc.) and Hewlett Packard Enterprise Company. As of September 1, 2017, the Material is now offered by Micro Focus, a separately owned and operated company. Any reference to the HP and Hewlett Packard Enterprise/HPE marks is historical in nature, and the HP and Hewlett Packard Enterprise/HPE marks are the property of their respective owners.