Данные от источников событий собираются компонентами HP ArcSight – ArcSight SmartConnectors – в реальном времени производящими сбор, нормализацию и предварительную фильтрацию событий. Далее данные пересылаются в основной модуль системы – ArcSight Manager, где информация из событий сопоставляются с сетевой моделью, хранимой в Manager, после чего событиям присваивается степень критичности. Далее события проходят обработку в ядре корреляции, после чего им присваивается приоритет. Ядро корреляции позволяет обнаружить события, действительно представляющие интерес для дальнейшего расследования.

В отношении выявленных инцидентов или событий может быть предпринято расследование и организован документооборот, а также построена отчетность. После обработки события архивируются для минимизации необходимого для хранения дискового пространства.

Процесс обработки событий в системе HP ArcSight ESM представлен на Рис. 1.