Configurer votre ServiceNow AI Platform instance pour l’intégration d’ingestion d’événements ArcSight ESM

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • La section suivante répertorie les tâches de configuration que vous devez effectuer dans votre ServiceNow AI Platform® instance avant d’installer l’application à partir du ServiceNow Store.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Reportez-vous à la table suivante et vérifiez que vous avez effectué toutes les tâches répertoriées avant de télécharger et d’installer l’application pour garantir une installation et une configuration fluides.

    Tâche de configuration Description
    Vérifiez que vous avez affecté les rôles requis ServiceNow AI Platform® et Réponse aux incidents de sécurité (SIR).

    Les rôles suivants sont requis pour l’installation, la configuration et l’utilisation de l’intégration dans votre ServiceNow AI Platform® instance.

    • Un utilisateur disposant du rôle d’administrateur ServiceNow AI Platform® (admin) installe l’application à partir du et lui affecte le rôle d’administrateur d’incident ServiceNow Store de sécurité (sn_si.admin).
    • Un utilisateur disposant du rôle sn_si.admin supervise les tâches suivantes dans le ServiceNow AI Platform®:
      • Nomme, crée et modifie les profils d’événements.
      • Sélectionne et mappe les valeurs des événements de corrélation aux incidents de ArcSight ESM sécurité.
      • Prévisualise les détails de l’incident de sécurité pour plus d’exactitude avant de finaliser la configuration.
      • Planifie l’ingestion d’événements corrélés en cours.
      • Active les mises à jour des événements corrélés lorsqu’un incident SIR est créé et fermé.
      • Affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst).
      • Les utilisateurs disposant du sn_si.analyst travaillent sur des incidents de sécurité.

    Pour plus d’informations sur les rôles et l’attribution de rôles aux utilisateurs, consultez Rôles sur le site Web de la documentation produit ServiceNow.
    Vérifiez que vous utilisez la ArcSight ESM version 7.0.0.2436 ou ultérieure du gestionnaire. Les versions antérieures ne sont pas prises en charge. Si vous avez accès à la ArcSight ESM visionneuse de requête, vous avez accès à l’API requise pour cette intégration. Aucune autre configuration spéciale n’est requise pour l’API.
    Configurez la visionneuse de requêtes dans ArcSight ESM. Avant de pouvoir ingérer des événements de corrélation, vous devez configurer la visionneuse de requête dans la ArcSight ESM console. Consultez Configurer la visionneuse de ArcSight ESM requête pour en savoir plus.
    Facultatif

    Créez des étapes personnalisées pour les mises à jour d’événements de ArcSight ESM corrélation.

    		 Un événement de corrélation passe par de nombreuses étapes dans son cycle de vie avant d’être fermé. ArcSight ESM fournit des étapes par défaut telles que Initial, Surveillance, Mis en file d’attente et Fermé. Certaines de ces étapes nécessitent des entrées de l’utilisateur, mais d’autres étapes sont automatiquement appliquées à l’événement sans aucune intervention de l’utilisateur (le champ Utilisateur requis est désactivé dans la ArcSight ESM console).

    Vous pouvez créer des étapes personnalisées qui ne nécessitent aucune intervention de l’utilisateur et les utiliser dans votre ServiceNow AI Platform® instance. Consultez Options supplémentaires : Automatiser les mises à jour et les fermetures d’événements corrélés en fonction de l’état SIR de l’incident pour en savoir plus.
    Vérifiez que vous avez installé et configuré une application de serveur MID. Application de serveur MID configurée

    Un serveur MID dans votre ServiceNow AI Platform® instance est requis pour se connecter au ArcSight ESM service si le ArcSight ESM serveur est déployé au sein de votre réseau d’entreprise. Consultez Installez et configurez l’application ServiceNow pour l’intégration d’ingestion d’événements ArcSight ESM les instructions de configuration d’une application de serveur MID.

    Reportez-vous à la section Serveur MID pour en savoir plus sur les serveurs MID.

    Si vous utilisez un service hébergé ou dans le cloud, c’est-à-dire accessible par Internet, un serveur MID n’est pas nécessaire.
    Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées avant d’installer l’application pour l’intégration.

    Vérifiez que les applications suivantes Opérations de sécurité sont installées et activées à partir du ServiceNow Store. Si ce n’est pas le cas, installez et activez une application à la fois dans l’ordre suivant pour assurer une installation sans problème.

    1. Réponse aux incidents de sécurité
    2. Cadre de travail d’intégration de sécurité
    3. Prise en charge de la sécurité commune
    4. Ingestion d’événements et d’alertes pour Security Operations : Cette application nécessite :
      • com.glide.hub.integration.runtime => Exécution du Centre d’intégration ServiceNow
      • com.glide.hub.action_step.rest => Étape d’action ServiceNow Centre d’intégration : REST
    5. Threat Core

    Pour plus d’informations sur l’installation des Opérations de sécurité applications principales, reportez-vous aux sections Obtenir un droit pour un produit ou une Opérations de sécurité application et Activer une ServiceNow Store application.

    Que faire ensuite

    Vous avez correctement configuré votre ServiceNow AI Platform® instance pour l’intégration. L’étape suivante consiste à installer l’application ArcSight ESM Ingestion d’événements de sécurité pour les opérations de sécurité à partir de pour l’intégration ServiceNow Store .