Erste Schritte mit der Integration Elasticsearch - Incident Enrichment

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Elasticsearch ist eine verteilte RESTful-Such- und Analyse-Engine, die sich problemlos in Security Operationsintegrieren lässt. Bevor Sie die Integration Elasticsearch - Incident Enrichment verwenden können, müssen Sie sie von ServiceNow Store herunterladen und die entsprechende API-Basis-URL sowie Anmeldeinformationen hinzufügen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Laden Sie die -Integration aus dem herunter ServiceNow Store.
    2. Wenn die Installation abgeschlossen ist, greifen Sie auf Elasticsearch zu, und rufen Sie die API-Basis-URL in Ihrem Elasticsearch-Profil ab.
    3. Navigieren Sie in Ihrer -Instanz zu Security Operations > Integrationen > Integrationskonfigurationen.
      Die verfügbaren Sicherheitsintegrationen werden als Reihe von Karten angezeigt.
    4. Klicken Sie auf der Karte Elasticsearch – Incident-Ergänzung auf Neu.
      Elastische Konfiguration
    5. Füllen Sie die Felder nach Bedarf aus.
      Feld Beschreibung
      Name Der Name dieser Konfiguration.
      Basis-URL der Elasticsearch-API Die Basis-URL, die Sie von der Website Elasticsearch erhalten haben.
      Link-URL [Optional] Links zu einer Kibana-Instanz, falls verfügbar
      Anwendername Ihr Intel-Anwendername Elasticsearch.
      Passwort Ihr Intel-Passwort Elasticsearch.
      Max. Zeilen Die maximale Anzahl von Zeilen, die Sie durchsuchen möchten.
      Erstes Ergebnis (Tage) Die frühesten Ergebnisse, die Sie anzeigen möchten, in Tagen.
      Rohdatenmuster in Suchergebnissen berücksichtigen Wählen Sie diese Option aus, um Beispiele von Rohdaten in die Ergebnisse der Sichtungssuche aufzunehmen. Die Menge der zurückgegebenen Daten hängt von Ihrer Einstellung in der Anzahl der Zeilen der Rohdateneigenschaft in den Security Incident Response-Eigenschaftenab.
      MID-Server Wählen Sie Beliebig aus, um einen beliebigen aktiven MID-Server zu verwenden, oder wählen Sie einen bestimmten MID-Server-Namen aus.
      Hinweis:
      Durch die Konfiguration dieser Integration werden -Workflows aktiviert. Um die Workflows zu verwalten, navigieren Sie zum Workflow-Editor.
    6. Klicken Sie auf Absenden.
      Die Integrationskonfigurationskarte wird angezeigt.
    7. Wenn Sie die neue Konfigurationskarte anzeigen, können Sie auf Konfigurieren oder Löschen klicken, um die Konfiguration zu ändern bzw. zu löschen.
    8. Um zur ursprünglichen Liste der Integrationskonfigurationskarten zurückzukehren, wählen Sie Nein in der Dropdown-Liste Konfigurationen anzeigen aus.

    Ergebnisse

    Nach der Konfiguration kann die Integration Elasticsearch - Incident Enrichment für die Veröffentlichung von erkennbaren Elementen in Beobachtungslisten in Security Incident Response ausgewählt werden.