ESM 将分阶段处理事件, 以确定并对感兴趣的事件采取行动。下图提供了事件生命周期中主要步骤的概览。
数据源生成数以千计的事件。SmartConnectors 单独托管或 ArcSight 管理中心的一部分, 将它们解析为 ESM 事件架构。每一步都将事件缩小到更有可能感兴趣的情况。
一旦事件流缩小, ESM 就会提供工具来监视和调查感兴趣的事件, 跟踪和升级开发情况, 并分析和报告事件。然后根据配置期间设置的策略存储和存档事件数据。
以下部分详细介绍了此过程:
- 第33页的“数据收集和事件处理”
- 第42页上的“优先级评估和网络模型查找”
- 第48页上的“工作流程”
- “相关性评估”(第57页)
- “监测和调查”在第81页
- “报告和事件分析”在第98页
- 第109页的“CORR引擎”
要详细了解事件模式,网络模型,Actor模型和资源管理,请参阅以下部分:
- “事件模式”(第113页)
- “网络模型”(第125页)
- “Actor模型”(第151页)
“管理资源和标准内容”(第156页)