ArcSight ESM Intégration de l’ingestion d’événements

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • L’intégration ArcSight ESM de l’ingestion d’événements Réponse aux incidents de sécurité au produit permet aux analystes d’incidents de sécurité de collecter des événements corrélés et d’automatiser la création d’incidents de sécurité avec la ServiceNow plateforme. Les données sont ingérées en permanence en fonction d’un calendrier d’interrogation configuré, et elles sont utilisées par les analystes pour identifier et répondre aux menaces potentielles de cybersécurité.

    Grâce à cette intégration, les événements corrélés candidats aux incidents de sécurité peuvent être ingérés périodiquement. Vous pouvez mapper les champs des événements corrélés aux champs d’incident de sécurité, prévisualiser la configuration d’un événement en tant qu’incident de sécurité et configurer l’ingestion planifiée d’événements pour créer automatiquement des incidents de sécurité de manière continue.

    Vue d’ensemble de l’intégration de l’ingestion d’événements ArcSight ESM

    Cette intégration fournit à un analyste du centre des opérations de sécurité (SOC) une visibilité sur les événements de corrélation dans ArcSight ESM. Ces données peuvent être intégrées dans les incidents de sécurité de Réponse aux ServiceNow AI Platform incidents de sécurité (SIR) pour une enquête plus approfondie et une correction. Des profils sont créés dans votre ServiceNow AI Platform instance pour gérer différents types d’événements de corrélation qui sont créés et mis à disposition via des visionneuses de requête de corrélation dans ArcSight ESM. Ces profils personnalisent la façon dont les différents ArcSight ESM champs d’événement corrélés sont affichés sur les incidents de sécurité SIR.

    Fonctionnalités principales

    Cette intégration comprend les fonctionnalités clés suivantes :
    • Créez plusieurs profils d’ingestion d’événements pour créer SIR des incidents de sécurité pour des types spécifiques de menaces tels que les programmes malveillants et les tentatives d’accès non autorisé.
    • Mappage par glisser-déplacer des valeurs de champs d’événement de ArcSight ESM corrélation vers les champs d’incident de sécurité associés SIR .
    • Aperçu de la mise en page de l’incident de sécurité basé sur des SIR exemples d’événements de corrélation pour valider les détails du mappage d’événements.
    • Ingérez des événements de corrélation historiques ainsi que les nouveaux événements notables sur des intervalles configurables.
    • Filtrer les événements de corrélation qui ne répondent pas aux SIR critères de génération d’incidents, par exemple les événements de priorité faible
    • Agrégez les événements aux incidents de sécurité existants SIR en fonction des valeurs de champ correspondantes pour éviter les incidents de sécurité en double.
    • Mettez à jour les événements de SIR corrélation en fonction des conditions de création d’incident et/ou de fermeture via une interface bidirectionnelle.

    Versions prises en charge ServiceNow AI Platform

    Cette intégration prend en charge les versions New York Patch 6 et Orlando ServiceNow AI Platform .

    Les applications Security Operations suivantes doivent être installées et activées à partir de .ServiceNow Store Installez puis activez une application à la fois dans l’ordre indiqué ci-dessous pour assurer une installation fluide :

    1. Cadre de travail d’intégration de sécurité
    2. Prise en charge de la sécurité commune
    3. Réponse aux incidents de sécurité
    4. Ingestion d’événements et d’alertes pour Security Operations
    5. Modules d’extension du Centre d’intégration
      1. Exécution du concentrateur d’intégration ServiceNow
      2. Étape d’action du concentrateur d’intégration ServiceNow : REST

    Pour plus d’informations sur l’installation des Opérations de sécurité applications principales, reportez-vous aux sections Obtenir un droit pour un produit ou une Opérations de sécurité application et Activer une ServiceNow Store application.

    ArcSight ESM Versions prises en charge

    Cette intégration a été testée avec la ArcSight ESM version 7.0.0.2436 du gestionnaire. L’intégration prend en charge les environnements de services sur site et dans le ArcSight ESM cloud/hébergés.

    Serveur MID

    Cette intégration nécessite l’installation et la configuration d’un serveur MID dans votre ServiceNow AI Platform® instance pour se connecter au ArcSight ESM service lorsque le ArcSight ESM serveur est déployé au sein de votre réseau d’entreprise. Si vous utilisez le service dans le cloud, un serveur MID n’est ArcSight ESM pas nécessaire. Consultez le site Web de la documentation produit ServiceNow pour plus d’informations sur les serveurs MID.

    Références

    Référence Identificateur de document Titre de document
    1 ArcSight ESM Documentation du produit Documentation sur le produit ArcSight.
    2 ServiceNow Site web de la documentation produit Site Web de la documentation produit ServiceNow