ArcSight ESM Ingestion d’événements pour Security Operations l’intégration

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • L’intégration ArcSight ESM de l’ingestion d’événements Réponse aux incidents de sécurité au produit permet aux analystes des incidents de sécurité de collecter des événements corrélés et d’automatiser la création d’incidents de sécurité avec la ServiceNow plateforme. Les données sont ingérées en continu en fonction d’un calendrier d’interrogation configuré, et elles sont utilisées par les analystes pour identifier et répondre aux menaces potentielles de cybersécurité.

    Grâce à cette intégration, il est possible d’ingérer périodiquement les événements corrélés qui sont candidats aux incidents de sécurité. Vous pouvez mapper des champs dans des événements corrélés à des champs d’incident de sécurité, prévisualiser la configuration d’un événement en tant qu’incident de sécurité et configurer l’ingestion planifiée d’événements pour créer automatiquement des incidents de sécurité sur une base continue.

    Vue d'ensemble

    Cette intégration permet à un analyste du centre des opérations de sécurité (SOC) d’avoir une visibilité sur les événements de corrélation dans ArcSight ESM. Ces données peuvent être intégrées dans Now Platform les incidents de sécurité Security Incident Response (SIR) pour une enquête et une correction plus approfondies. Les profils sont créés dans votre Now Platform instance pour gérer les différents types d’événements de corrélation qui sont créés et mis à disposition via les visionneuses de requêtes de corrélation dans ArcSight ESM. Ces profils personnalisent la façon dont les différents ArcSight ESM champs d’événements corrélés sont affichés sur les incidents de sécurité SIR.

    Fonctionnalités principales

    Cette intégration comprend les fonctionnalités clés suivantes :
    • Créez plusieurs profils d’ingestion d’événements pour créer des SIR incidents de sécurité pour des types de menaces spécifiques, tels que les programmes malveillants et les tentatives d’accès non autorisées.
    • Glisser-déplacer le mappage des valeurs de champ d’événement ArcSight ESM de corrélation vers les champs d’incident de sécurité associés SIR .
    • Aperçu de la mise en page de l’incident de sécurité basé sur des exemples d’événements de corrélation pour valider les SIR détails du mappage d’événements.
    • Ingérer les événements de corrélation historiques, ainsi que les nouveaux événements notables à intervalles configurables.
    • Filtrer les événements de corrélation qui ne répondent pas aux SIR critères de génération d’incidents, par exemple les événements de faible priorité
    • Regroupez les événements en incidents de sécurité existants SIR en fonction des valeurs de champ correspondantes pour éviter les incidents de sécurité en double.
    • Mettez à jour les événements de corrélation basés sur SIR les conditions de création et/ou de fermeture d’incident via une interface bidirectionnelle.

    Versions prises en charge Now Platform

    Cette intégration prend en charge les versions New York Patch 6 et Orlando Now Platform.

    Les applications Security Operations suivantes doivent être installées et activées à ServiceNow Storepartir du . Installez puis activez une application à la fois dans l’ordre indiqué ci-dessous pour garantir une installation fluide :

    1. Cadre de travail des intégrations de sécurité
    2. Security Support Common
    3. Réponse aux incidents de sécurité
    4. Ingestion d’événements et d’alertes pour Security Operations
    5. Modules d’extension du concentrateur d’intégration
      1. Runtime du concentrateur d’intégration ServiceNow
      2. Étape d’action du concentrateur d’intégration ServiceNow : REST

    Pour plus d’informations sur l’installation des Security Operations applications principales, reportez-vous aux sections Obtenir une autorisation pour un produit ou une Security Operations application et Activer une ServiceNow Store application.

    ArcSight ESM Versions prises en charge

    Cette intégration a été testée avec la ArcSight ESM version 7.0.0.2436 du gestionnaire. L’intégration prend en charge à la fois les environnements de services sur site et dans le ArcSight ESM cloud/hébergés.

    Serveur MID

    Cette intégration nécessite l’installation et la configuration d’un MID Server dans votre Now Platform® instance pour se connecter au ArcSight ESM service lorsque le ArcSight ESM serveur est déployé au sein de votre réseau d’entreprise. Si vous utilisez le service cloud ArcSight ESM , un MID Server n’est pas nécessaire. Consultez le site web de la documentation produit ServiceNow pour plus d’informations sur les MID Servers.

    Références

    Référence Identificateur de document Titre de document
    1 ArcSight ESM Documentation produit Documentation du produit ArcSight.
    2 ServiceNow Site web de la documentation du produit Site Web de la documentation du produit ServiceNow