Richten Sie Ihre Instanz Now Platform für die Integration der Ereigniserfassung ArcSight ESM ein

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Im folgenden Abschnitt werden die Setupaufgaben aufgeführt, die Sie in der Instanz Now Platform® ausführen müssen, bevor Sie die Anwendung von ServiceNow Storeinstallieren.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Sehen Sie sich die folgende Tabelle an, und vergewissern Sie sich, dass Sie alle aufgeführten Aufgaben abgeschlossen haben, bevor Sie die Anwendung herunterladen und installieren, um eine reibungslose Installation und Konfiguration zu gewährleisten.

    Setupaufgabe Beschreibung
    Stellen Sie sicher, dass Sie die erforderlichen Rollen Now Platform® und Security Incident Response (SIR) zugewiesen haben.

    Die folgenden Rollen sind für die Installation, Einrichtung und Verwendung der -Integration in Ihrer Instanz Now Platform® von erforderlich.

    • Ein Benutzer mit der Administratorrolle Now Platform® (admin) installiert die Anwendung aus ServiceNow Store und weist die Rolle „Security Incident-Administrator“ (sn_si.admin) zu.
    • Ein Benutzer mit der Rolle sn_si.admin überwacht die folgenden Aufgaben in Now Platform®:
      • Benennt, erstellt und bearbeitet Ereignisprofile.
      • Wählt Werte aus ArcSight ESM Korrelationsereignissen aus und ordnet sie Security Incidents zu.
      • Zeigt eine Vorschau der Details von Security Incidents auf Richtigkeit an, bevor die Konfiguration abgeschlossen wird.
      • Plant die laufende Erfassung korrelierter Ereignisse.
      • Aktiviert die Aktualisierung korrelierter Ereignisse, wenn ein SIR-Incident erstellt und geschlossen wird.
      • Weist die Rolle „Security Incident-Analyst“ (sn_si.analyst) zu.
      • Benutzer mit der Rolle sn_si.analyst arbeiten mit Security Incidents.

    Weitere Informationen zu Rollen und zum Zuweisen von Rollen zu Benutzern finden Sie unter Rollen auf der Website der ServiceNow-Produktdokumentation.
    Stellen Sie sicher, dass Sie Version 7.0.0.2436 oder höher des ArcSight ESM Managers verwenden. Frühere Versionen werden nicht unterstützt. Wenn Sie Zugriff auf den Abfrage-Viewer ArcSight ESM haben, haben Sie Zugriff auf die API, die für diese Integration erforderlich ist. Für die API ist kein weiteres spezielles Setup erforderlich.
    Richten Sie den Abfrage-Viewer in ArcSight ESMein. Bevor Sie Korrelationsereignisse erfassen können, müssen Sie den Abfrage-Viewer in der Konsole ArcSight ESM konfigurieren. Details siehe Richten Sie den Abfrage-Viewer ArcSight ESM ein.
    Optional

    Erstellen Sie anwenderdefinierte Phasen in ArcSight ESM für Aktualisierungen von Korrelationsereignissen.

    		 Ein Korrelationsereignis durchläuft viele Phasen in seinem Lebenszyklus, bevor es geschlossen wird. ArcSight ESM bietet Standardphasen wie „Anfänglich“, „Überwachung“, „In Warteschlange“ und „Geschlossen“. Einige dieser Phasen erfordern Benutzereingaben, andere werden jedoch automatisch ohne Benutzereingriff auf das Ereignis angewendet (das Feld Vom Anwender erforderlich ist in der Konsole ArcSight ESM deaktiviert).

    Sie können anwenderdefinierte Phasen erstellen, für die keine Benutzereingriffe erforderlich sind, und sie in Ihrer Instanz Now Platform® verwenden. Details siehe Zusätzliche Optionen: Automatisieren Sie die Aktualisierung und den Abschluss korrelierter Ereignisse basierend auf dem Incident-Status SIR ..
    Stellen Sie sicher, dass Sie eine MID-Serveranwendung installiert und konfiguriert haben. Konfigurierte MID-Server-Anwendung

    Ein MID-Server in Ihrer Instanz Now Platform® ist erforderlich, um eine Verbindung zum Service ArcSight ESM herzustellen, wenn der Server ArcSight ESM innerhalb Ihres Unternehmensnetzwerks bereitgestellt wird. Anweisungen zum Konfigurieren einer MID-Server-Anwendung finden Sie unter Installieren und konfigurieren Sie die ServiceNow-Anwendung für die ArcSight ESM Event Ingestion-Integration.

    Informationen zu MID-Servern finden Sie unter MID-Server.

    Wenn Sie einen gehosteten oder Cloud-Service verwenden, der über das Internet zugänglich ist, ist ein MID Server nicht erforderlich.
    Stellen Sie sicher, dass die Kernanwendungen ServiceNow, die zur Unterstützung der Integration erforderlich sind, installiert und aktiviert sind, bevor Sie die Anwendung für die Integration installieren.

    Vergewissern Sie sich, dass die folgenden Security Operations -Anwendungen über ServiceNow Storeinstalliert und aktiviert sind. Falls nicht installiert, installieren und aktivieren Sie jeweils nur eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation zu gewährleisten.

    1. Security Incident Response
    2. Security Integration Framework
    3. Security Support Common
    4. Event and Alert Ingestion for Security Operations: Diese Anwendung benötigt:
      • com.glide.hub.integration.runtime => ServiceNow IntegrationHub-Laufzeit
      • com.glide.hub.action_step.rest => ServiceNow IntegrationHub-Aktionsschritt – REST
    5. Threat Core

    Weitere Informationen zur Installation der Security Operations -Core-Anwendungen finden Sie unter Rufen Sie eine Berechtigung für ein Produkt oder eine Anwendung Security Operations der ab und Aktivieren Sie eine ServiceNow Store -Anwendung.

    Nächste Maßnahme

    Sie haben Ihre Instanz Now Platform® erfolgreich für die Integration eingerichtet. Der nächste Schritt besteht in der Installation der Anwendung ArcSight ESM Security Event Ingestion for Security Operations aus dem ServiceNow Store für die -Integration.