Installieren und konfigurieren Sie die ServiceNow-Anwendung für die ArcSight ESM Event Ingestion-Integration

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Bevor Sie die -Integration in Ihrer Instanz Now Platform® ausführen, führen Sie diese Installations- und Konfigurationsschritte aus, damit die Anwendung ordnungsgemäß in die -Produkte Security Incident Response und Security Operations in Ihrer Instanz Now Platform integriert werden kann.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wenn Sie die Anwendung ServiceNow StoreArcSight ESM für die Integration nicht aus [] installiert haben, rufen Sie auf und befolgen Sie die Schritte zur Installation.
    2. Nachdem Sie die Anwendung erfolgreich installiert haben, navigieren Sie zu Integrationen > Integrationskonfigurationen und suchen Sie die Kachel ArcSight ESM.
    3. Klicken Sie zum Konfigurieren der Anwendung auf Neu.
    4. Alternativ: Wenn auf einer Kachel die Schaltfläche Konfigurieren angezeigt wird, können Sie darauf klicken, um eine vorhandene Konfiguration zu bearbeiten.
    5. Füllen Sie die Felder des Formulars aus.
      FeldBeschreibung
      Name Eindeutiger Name für den ArcSight ESM -Manager, der in der Integrationsprofilkonfiguration verwendet wird, um bei Bedarf mehrere ArcSight ESM -Manager-Quellen zu unterscheiden.

      Leerzeichen werden für Namen unterstützt, Klammern jedoch nicht.
      URL des ArcSight-API-Endpunkts URL für Ihren ArcSight ESM -Manager-Server. Beachten Sie, dass die URL den API-Port enthalten muss, z. B.: https://arcsight-esm.com:8443
      API-Kontoanwendername Anwendername, den Sie für Ihren API-Anwenderaccount in der -Managerkonsole ArcSight ESM erstellt haben.
      API-Passwort Passwort, das Sie für Ihren API-Benutzeraccount in der -Managerkonsole ArcSight ESM erstellt haben.
      Lokale Bereitstellung Standardmäßig ist dieses Kontrollkästchen deaktiviert.

      Wenn Sie die cloudbasierte Version von ArcSight ESM mit direktem Internetzugriff verwenden, vergewissern Sie sich, dass das Kontrollkästchen deaktiviert ist.

      Aktivieren Sie bei einer lokalen Bereitstellung dieses Kontrollkästchen, und geben Sie die MID-Server-Anwendung an.
      MID-Server-Anwendung Geben Sie hier einen MID-Server-Anwendungsnamen an. Diese MID-Server-Anwendung kann auf jeden der konfigurierten MID-Server verweisen. Jeder verfügbare MID-Server wird verwendet.

      Wenn keine MID-Server-Anwendung konfiguriert ist, müssen Sie eine neue MID-Server-Anwendung für diese Integration erstellen.

      Hinweis:
      Die MID-Server-Anwendung kann nur von Benutzern mit der Rolle „Systemadministrator“ konfiguriert werden.
      Um eine neue MID-Server-Anwendung zu erstellen, gehen Sie wie folgt vor:
      1. Navigieren zu MID-Server > Anwendungen und klicken Sie auf Neu.
      2. Geben Sie einen Namen für die MID-Server-Anwendung ein, und wählen Sie einen MID-Server aus, der als Standard verwendet werden soll.
      3. Deaktivieren Sie das Kontrollkästchen In Anwendung ALLE enthalten, und klicken Sie auf Speichern.
        ArcSight ESM: MID-Anwendung erstellen
      4. Klicken Sie auf Bearbeiten. Wählen Sie auf der Seite „ Mitglieder bearbeiten “ alle verfügbaren MID-Server aus, verschieben Sie sie in die Liste der MID-Server, und klicken Sie auf Speichern.
      5. Die ausgewählten MID-Server werden wie unten gezeigt aufgelistet.
        ArcSight ESM: MID-Anwendung erstellen: MID
      Je nach Verfügbarkeit wird einer der mit der MID Server-Anwendung konfigurierten MID Server verwendet.
    6. Geben Sie die Konfigurationsdetails ein, und geben Sie die von Ihnen erstellte MID-Server-Anwendung an.
      ArcSight ESM: Konfiguration
      Jedes Korrelationsereignis, das Sie über Ihre ArcSight ESM Manager-Konsole erfassen, erfordert ein eindeutiges Ereignisprofil in Ihrer Instanz. Die Quelle ArcSight ESM, die Sie im Formular „Konfiguration der Ereigniserfassung“ konfigurieren, kann jedoch für mehrere Profile wiederverwendet werden, solange jedes Profil eindeutige Korrelationsereignistypen erfasst.
    7. Klicken Sie auf Absenden.
      Nach erfolgreicher Validierung und Übermittlung wird jede ArcSight ESM -Serverkonfiguration auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln nicht auf der Seite mit den Sicherheitsintegrationen angezeigt werden, klicken Sie in der oberen rechten Ecke der Seite in der Auswahlliste Konfigurationen anzeigen auf Ja.

    Nächste Maßnahme

    Sie haben die Anwendung erfolgreich installiert und konfiguriert. Der nächste Schritt besteht im Erstellen eines Ereignisprofils.