Security Operations のための ArcSight ESM イベントの取り込み統合

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む4読むのに数分

    • セキュリティインシデントレスポンス 製品との ArcSight ESM イベント取り込み統合により、セキュリティインシデントアナリストは ServiceNow プラットフォームで相関イベントを収集し、セキュリティインシデントの作成を自動化できます。データは設定されたポーリングスケジュールに基づいて継続的に取り込まれ、アナリストが潜在的なサイバーセキュリティの脅威を特定して対応するために使用します。

    この統合により、セキュリティインシデントの候補である相関イベントを定期的に取り込むことができます。相関イベントのフィールドをセキュリティインシデントフィールドにマップし、イベントの設定をセキュリティインシデントとしてプレビューし、イベントのスケジュール設定された取り込みを設定して、セキュリティインシデントを継続的に自動作成できます。

    概要

    この統合により、セキュリティオペレーションセンター (SOC) アナリストは ArcSight ESM の相関イベントを表示できます。このデータは、Now Platform Security Incident Response (SIR) セキュリティインシデントに統合して、さらに調査および修復できます。プロファイルは、Now Platform インスタンスに作成され、ArcSight ESM の相関クエリビューアーを介して作成および利用されるさまざまな相関イベントタイプを処理します。これらのプロファイルは、SIR セキュリティインシデントでのさまざまな ArcSight ESM 相関イベントフィールドの表示方法をカスタマイズします。

    主な機能

    この統合の主な機能は次のとおりです。
    • 複数のイベント取り込みプロファイルを作成して、マルウェア、不正なアクセス試行などの特定のタイプの脅威に対して SIR セキュリティインシデントを作成します。
    • 関連付けられている SIR セキュリティインシデントフィールドへの ArcSight ESM 相関イベントフィールド値のドラッグアンドドロップによるマッピング。
    • イベントマッピングの詳細を検証するためのサンプル相関イベントに基づく SIR セキュリティインシデントレイアウトのプレビュー。
    • 構成可能な間隔で、履歴相関イベントと新しい注目イベントを取り込みます。
    • SIR インシデント生成基準を満たさない相関イベント (低優先度イベントなど) を除外します。
    • 一致するフィールド値に基づいて既存の SIR セキュリティインシデントにイベントを集計し、重複するセキュリティインシデントを回避します。
    • 双方向インターフェイスを介し、SIR インシデントの作成やクローズの条件に基づいて相関イベントを更新します。

    サポートされている Now Platform のバージョン

    この統合は、New York パッチ 6 および Orlando Now Platform リリースをサポートしています。

    次の Security Operations アプリケーションが、ServiceNow Store からインストールされ、アクティブ化されている必要があります。スムーズにインストールできるように、アプリケーションを次のリストの順番で、一度に 1 つずつインストールしてアクティブ化します。

    1. Security Integration Framework
    2. Security Support Common
    3. Security Incident Response
    4. Security Operations のイベントとアラートの取り込み
    5. Integration Hub プラグイン
      1. ServiceNow Integration Hub ランタイム
      2. ServiceNow Integration Hub アクションステップ - REST

    Security Operations コアアプリケーションのインストールの詳細については、「Security Operations 製品またはアプリケーションのエンタイトルメントの取得」および「ServiceNow Store アプリケーションのアクティブ化」を参照してください。

    ArcSight ESM のサポートされているバージョン

    この統合は、ArcSight ESM Manager のバージョン 7.0.0.2436 でテストされています。統合では、ArcSight ESM のオンプレミスとクラウド/ホストサービス環境の両方をサポートしています。

    MID Server

    ArcSight ESM サーバーが企業ネットワーク内に展開されている場合、この統合では、Now Platform® インスタンスのインストールされ、構成された MID Server を ArcSight ESM サービスに接続する必要があります。ArcSight ESM クラウドサービスを使用している場合、MID Server は必要ありません。MID Server の詳細については、ServiceNow 製品ドキュメント Web サイトを参照してください。

    参照

    参照 ドキュメント識別子 ドキュメントタイトル
    1 ArcSight ESM 製品ドキュメント ArcSight 製品ドキュメント
    2 ServiceNow 製品ドキュメント Web サイト ServiceNow 製品ドキュメント Web サイト