Elasticsearch の開始 - インシデント拡張統合

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:2分

    • Elasticsearch は、Security Operations と簡単に統合できる分散型の RESTful 検索および分析エンジンです。Elasticsearch - インシデント拡張統合を使用する前に、ServiceNow Store から統合をダウンロードし、適切な API Base URL とログイン認証情報を追加する必要があります。

    始める前に

    必要なロール:sn_si.admin

    手順

    1. から統合をダウンロードする ServiceNow Store.
    2. インストールが完了したら、Elasticsearch にアクセスし、Elasticsearch プロファイルの下の API Base URL を取得します。
    3. インスタンスで、 Security Operations > 統合 > 統合構成.
      利用可能なセキュリティ統合が一連のカードとして表示されます。
    4. Elasticsearch - インシデント拡張カードで、[新規] をクリックします。
      Elastic の構成
    5. 必要に応じて、フィールドに入力します。
      フィールド 説明
      名前 この構成の名前。
      Elasticsearch API のベース URL Elasticsearch サイトから取得したベース URL。
      リンク URL [オプション] 利用可能な場合、Kibana インスタンスへのリンク
      ユーザー名 Intel Elasticsearch ユーザー名。
      パスワード Intel Elasticsearch パスワード。
      最大行数 検索する行の最大行数。
      最も早い結果 (日数) 表示する最も早い結果 (日数単位)。
      検索結果に生データサンプルを含める サイティング検索結果に生データのサンプルを含めるには、これを選択します。返されるデータの量は、[セキュリティインシデントレスポンス] プロパティの [生データの行数] プロパティの設定によって異なります。
      MID サーバー [任意] を選択して、 任意のアクティブな MID サーバーを使用するか、特定の MID サーバー名を選択します。
      注:
      この統合を設定すると、ワークフローが有効になります。ワークフローを管理するには、[ワークフローエディター] に移動します。
    6. [Submit] をクリックします。
      統合構成カードが表示されます。
    7. 新しい構成カードを表示すると、[構成] または [削除] をクリックして、構成を変更または削除できます。
    8. 統合構成カードの元のリストに戻るには、[構成を表示] ドロップダウンから [いいえ] を選択します。

    タスクの結果

    構成後、セキュリティインシデントレスポンスのウォッチリストに観測事象を公開するために Elasticsearch - インシデント拡張統合を選択できます。