ArcSight ESM Ereigniserfassung für Security Operations Integration

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Die Integration der [ ArcSight ESM -Ereigniserfassung mit dem Produkt Security Incident Response ermöglicht es Security Incident-Analysten, korrelierte Ereignisse zu sammeln und die Erstellung von Security Incidents mit der Plattform ServiceNow zu automatisieren. Daten werden kontinuierlich basierend auf einem konfigurierten Abfragezeitplan erfasst und von Analysten verwendet, um potenzielle Cybersicherheitsbedrohungen zu identifizieren und darauf zu reagieren.

    Mit dieser Integration können korrelierte Ereignisse, die Kandidaten für Security Incidents sind, regelmäßig erfasst werden. Sie können Felder in korrelierten Ereignissen zu Security Incident-Feldern zuordnen, eine Vorschau der Einrichtung eines Ereignisses als Security Incident anzeigen und die geplante Erfassung von Ereignissen einrichten, um automatisch laufend Security Incidents zu erstellen.

    Übersicht

    Diese Integration bietet einem SOC-Analysten (Security Operations Center) Einblick in die Korrelation von Ereignissen in ArcSight ESM. Diese Daten können zur weiteren Untersuchung und Behebung in Security Incidents von Now Platform Security Incident Response (SIR) integriert werden. In Ihrer Instanz Now Platform werden Profile erstellt, um verschiedene Typen von Korrelationsereignissen zu verarbeiten, die über Korrelationsabfrage-Viewers in ArcSight ESMerstellt und verfügbar gemacht werden. Diese Profile passen an, wie verschiedene ArcSight ESM Felder für korrelierte Ereignisse in SIR-Security Incidents angezeigt werden.

    Schlüsselfunktionen

    Diese Integration umfasst die folgenden Schlüsselfunktionen:
    • Erstellen Sie mehrere Ereigniserfassungsprofile, um SIR Security Incidents für bestimmte Arten von Bedrohungen wie Malware und nicht autorisierte Zugriffsversuche zu erstellen.
    • Drag-and-Drop-Zuordnung von ArcSight ESM -Werten des Korrelationsereignisfeldes zu zugehörigen SIR -Security-Incident-Feldern.
    • Eine Vorschau des Security Incident-Layouts SIR basierend auf Beispielkorrelationsereignissen, um die Details der Ereigniszuordnung zu validieren.
    • Erfassung historischer Korrelationsereignisse sowie neuer beachtenswerter Ereignisse in konfigurierbaren Intervallen.
    • Filtern Sie Korrelationsereignisse heraus, die die Kriterien für die SIR Incident-Generierung nicht erfüllen, z. B. Ereignisse mit niedriger Priorität
    • Fassen Sie Ereignisse basierend auf übereinstimmenden Feldwerten für vorhandene SIR Security Incidents zusammen, um doppelte Security Incidents zu vermeiden.
    • Aktualisieren Sie Korrelationsereignisse basierend auf SIR Bedingungen für die Incident-Erstellung und/oder -Abschluss über eine bidirektionale Schnittstelle.

    Unterstützte Versionen Now Platform .

    Diese Integration unterstützt die Releases New York Patch 6 und Orlando Now Platform.

    Die folgenden Security Operations-Anwendungen müssen über ServiceNow Storeinstalliert und aktiviert werden. Installieren Sie eine Anwendung nach der anderen in der unten aufgeführten Reihenfolge, und aktivieren Sie sie dann, um eine reibungslose Installation zu gewährleisten:

    1. Security Integration Framework
    2. Security Support Common
    3. Security Incident Response
    4. Event and Alert Ingestion for Security Operations
    5. Integration Hub-Plugins
      1. ServiceNow Integration Hub Runtime
      2. Aktionsschritt für ServiceNow Integration Hub – REST

    Weitere Informationen zur Installation der Security Operations -Core-Anwendungen finden Sie unter und .

    ArcSight ESM unterstützte Versionen

    Diese Integration wurde mit Version 7.0.0.2436 des ArcSight ESM Managers getestet. Die -Integration unterstützt sowohl lokale ArcSight ESM als auch Cloud-/gehostete Serviceumgebungen.

    MID-Server

    Diese Integration erfordert einen installierten und konfigurierten MID-Server in Ihrer Instanz Now Platform®, um eine Verbindung zum Service ArcSight ESM herzustellen, wenn der Server ArcSight ESM innerhalb Ihres Unternehmensnetzwerks bereitgestellt wird. Wenn Sie den Cloud-Service ArcSight ESM verwenden, ist kein MID-Server erforderlich. Weitere Informationen zu MID-Servern finden Sie auf der Website der ServiceNow-Produktdokumentation.

    Referenzen

    Referenz Dokumentbezeichner Dokumententitel
    1 ArcSight ESM Produktdokumentation ArcSight-Produktdokumentation.
    2 ServiceNow Website mit Produktdokumentation Website mit Produktdokumentation von ServiceNow