Installer et configurer l’application ServiceNow pour l’intégration de l’ingestion d’événements ArcSight ESM

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Avant d’exécuter l’intégration sur votre Now Platform® instance, effectuez ces étapes d’installation et de configuration afin que l’application s’intègre correctement aux Réponse aux incidents de sécurité produits et Security Operations de votre Now Platform instance.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Si vous n’avez pas installé l’application à partir de ServiceNow Store pour ArcSight ESM l’intégration, consultez Installer une Security Operations intégration et suivez les étapes pour l’installer.
    2. Une fois l’application correctement installée, accédez à Intégrations > Configurations des intégrations et localisez la ArcSight ESM tuile.
    3. Pour configurer l’application, cliquez sur Nouveau.
    4. Si un bouton Configurer s’affiche sur une mosaïque, vous pouvez également cliquer dessus pour modifier une configuration existante.
    5. Renseignez les champs du formulaire.
      ChampDescription
      Nom Nom unique du gestionnaire, ArcSight ESM utilisé dans la configuration du profil d’intégration pour distinguer les sources de gestionnaires multiples ArcSight ESM , le cas échéant.

      Les espaces sont pris en charge pour les noms, mais pas les parenthèses.
      URL du point de terminaison d’API ArcSight URL de votre ArcSight ESM serveur Manager. Notez que l’URL doit inclure le port d’API, par exemple : https://arcsight-esm.com:8443
      Nom d’utilisateur du compte API Nom d’utilisateur que vous avez créé pour votre compte d’utilisateur API dans la ArcSight ESM console Gestionnaire.
      Mot de passe API Mot de passe que vous avez créé pour votre compte d’utilisateur API dans la console Gestionnaire ArcSight ESM .
      Déploiement sur site Cette option n’est pas cochée par défaut.

      Si vous utilisez la version basée sur le cloud qui dispose d’un ArcSight ESM accès direct à Internet, vérifiez que la case à cocher est décochée.

      Pour un déploiement sur site, cochez cette case et spécifiez l’application MID Server.
      Application de Serveur MID Spécifiez un nom d’application de Serveur MID ici. Cette application de MID Server peut pointer vers n’importe quel MID Server qui a été configuré et n’importe quel MID Server disponible sera utilisé.

      Si vous n’avez pas d’application MID Server configurée, vous devez créer une application MID Server pour cette intégration.

      Remarque :
      L’application MID Server ne peut être configurée que par les utilisateurs ayant le rôle d’administrateur système.
      Pour créer une application de Serveur MID, procédez comme suit :
      1. Accédez à la MID Server > Applications et cliquez sur Nouveau.
      2. Entrez un nom pour l’application MID Server et sélectionnez un MID Server à utiliser par défaut.
      3. Décochez la case Inclus dans l’application TOUTES, puis cliquez sur Enregistrer.
        ArcSight ESM : créer une application MID
      4. Cliquez sur Modifier. Sur la page Modifier les membres , sélectionnez tous les MID Servers disponibles, déplacez-les dans la liste des MID Servers, puis cliquez sur Enregistrer.
      5. Les MID Servers sélectionnés sont répertoriés comme illustré ci-dessous.
        ESM ArcSight : créer une application MID : MID
      En fonction de la disponibilité, l’un des MID Servers configurés avec l’application MID Server sera utilisé.
    6. Entrez les détails de la configuration et spécifiez l’application de Serveur MID que vous avez créée.
      ArcSight ESM : configuration
      Chaque événement de corrélation que vous ingérez à partir de votre ArcSight ESM Manager Console nécessite un profil d’événement unique dans votre instance. Toutefois, la ArcSight ESM source que vous configurez sur le formulaire Configuration de l’ingestion d’événements peut être réutilisée pour plusieurs profils, à condition que chaque profil ingère des types d’événements de corrélation uniques.
    7. Cliquez sur Envoyer.
      Une fois validée et soumise avec succès, chaque ArcSight ESM configuration de serveur est enregistrée sur la page Intégrations de sécurité sous forme de mosaïque. Si les vignettes de configuration que vous avez enregistrées ne s’affichent pas sur la page Intégrations de sécurité, dans le coin supérieur droit de la page, cliquez sur Oui dans la liste de choix Afficher les configurations.

    Que faire ensuite

    Vous avez correctement installé et configuré l’application. L’étape suivante consiste à créer un profil d’événement.