ArcSight ESM Ingestion d’événement pour Opérations de sécurité l’intégration

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • L’intégration ArcSight ESM de l’ingestion d’événements Réponse aux incidents de sécurité au produit permet aux analystes d’incidents de sécurité de collecter des événements corrélés et d’automatiser la création d’incidents de sécurité avec la ServiceNow plateforme. Les données sont ingérées en continu en fonction d’un calendrier d’interrogation configuré, et elles sont utilisées par les analystes pour identifier les menaces potentielles de cybersécurité et y répondre.

    Avec cette intégration, les événements corrélés qui sont des candidats aux incidents de sécurité peuvent être ingérés périodiquement. Vous pouvez mapper les champs d’événements corrélés à des champs d’incident de sécurité, prévisualiser la configuration d’un événement en tant qu’incident de sécurité et configurer l’ingestion planifiée d’événements pour créer automatiquement des incidents de sécurité en continu.

    Vue d'ensemble

    Cette intégration fournit à un analyste du centre des opérations de sécurité (SOC) une visibilité sur les événements de corrélation dans ArcSight ESM. Ces données peuvent être intégrées dans Now Platform les incidents de sécurité Security Incident Response (SIR) pour une enquête et une correction plus approfondies. Les profils sont créés dans votre Now Platform instance pour gérer différents types d’événements de corrélation créés et mis à disposition via des visionneuses de requêtes de corrélation dans ArcSight ESM. Ces profils personnalisent la façon dont les différents ArcSight ESM champs d’événements corrélés sont affichés sur les incidents de sécurité SIR.

    Fonctionnalités principales

    Cette intégration comprend les fonctionnalités clés suivantes :
    • Créez plusieurs profils d’ingestion d’événements pour créer des SIR incidents de sécurité pour des types de menaces spécifiques tels que les programmes malveillants et les tentatives d’accès non autorisé.
    • Glisser-déplacer le mappage des valeurs de champ d’événement de ArcSight ESM corrélation aux champs d’incident de sécurité associés SIR .
    • Aperçu de la mise en page de l’incident de sécurité basée sur des SIR exemples d’événements de corrélation pour valider les détails du mappage d’événements.
    • Ingérer des événements de corrélation historiques, ainsi que de nouveaux événements notables à intervalles configurables.
    • Filtrer les événements de corrélation qui ne répondent pas aux SIR critères de génération d’incidents, par exemple les événements de faible priorité
    • Regroupez les événements en incidents de sécurité existants SIR en fonction des valeurs de champ correspondantes pour éviter les incidents de sécurité en double.
    • Mettre à jour les événements de corrélation en fonction SIR des conditions de création et/ou de fermeture d’incident via une interface bidirectionnelle.

    Versions prises en charge Now Platform

    Cette intégration prend en charge les versions New York Patch 6 et Orlando Now Platform.

    Les applications Security Operations suivantes doivent être installées et activées à partir du ServiceNow Store. Installez, puis activez une application à la fois dans l’ordre indiqué ci-dessous pour garantir une installation fluide :

    1. Cadre de travail de Security Integration
    2. Security Support Common
    3. Réponse aux incidents de sécurité
    4. Ingestion d’événements et d’alertes pour Security Operations
    5. Modules d’extension du concentrateur d’intégration
      1. Exécution du concentrateur d’intégration ServiceNow
      2. Étape d’action du concentrateur d’intégration ServiceNow : REST

    Pour plus d’informations sur l’installation des Opérations de sécurité applications principales, consultez et .

    ArcSight ESM Versions prises en charge

    Cette intégration a été testée avec la ArcSight ESM version 7.0.0.2436 du gestionnaire. L’intégration prend en charge à la fois les environnements de services sur site et dans le ArcSight ESM cloud/hébergés.

    Serveur MID

    Cette intégration nécessite l’installation et la configuration d’un serveur MID Server dans votre Now Platform® instance pour se connecter au ArcSight ESM service lorsque le ArcSight ESM serveur est déployé au sein de votre réseau d’entreprise. Si vous utilisez le service cloud, un serveur MID n’est ArcSight ESM pas nécessaire. Consultez le site web de la documentation produit ServiceNow pour plus d’informations sur les MID Servers.

    Références

    Référence Identificateur de document Titre de document
    1 ArcSight ESM Documentation du produit Documentation produit ArcSight.
    2 ServiceNow Site web de la documentation produit Site web de la documentation produit ServiceNow