ArcSight ESM 이벤트 수집 통합

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 3분

    • ArcSight ESM 제품과 이벤트 수집 통합을 보안 인시던트 응답 통해 보안 인시던트 분석가는 상관 관계가 있는 이벤트를 수집하고 플랫폼으로 보안 인시던트 생성을 자동화할 수 있습니다ServiceNow. 데이터는 구성된 폴링 일정에 따라 지속적으로 수집되며 분석가는 잠재적인 사이버 보안 위협을 식별하고 대응하는 데 사용됩니다.

    이 통합을 사용하면 보안 인시던트 후보인 상관 관계 이벤트를 주기적으로 수집할 수 있습니다. 상관 관계가 있는 이벤트의 필드를 보안 인시던트 필드에 매핑하고, 이벤트 설정을 보안 인시던트로 미리 보고, 예약된 이벤트 수집을 설정하여 지속적으로 보안 인시던트를 자동으로 생성할 수 있습니다.

    ArcSight ESM 이벤트 수집 통합 개요

    이 통합은 보안 운영 센터(SOC) 분석가에게 의 ArcSight ESM상관관계 이벤트에 대한 가시성을 제공합니다. 이 데이터는 추가 조사 및 정정을 위해 SIR(보안 인시던트 응답) 보안 인시던트에 ServiceNow AI Platform 통합될 수 있습니다. 의 상관관계 쿼리 뷰어ArcSight ESM를 통해 만들어지고 사용할 수 있는 다양한 상관관계 이벤트 유형을 처리하기 위해 인스턴스에 ServiceNow AI Platform 프로파일이 만들어집니다. 이러한 프로파일은 SIR 보안 인시던트에 서로 다른 ArcSight ESM 상관관계 이벤트 필드가 표시되는 방식을 사용자 지정합니다.

    주요 기능

    이 통합에는 다음과 같은 주요 기능이 포함됩니다.
    • 여러 이벤트 수집 프로파일을 생성하여 맬웨어 및 무단 액세스 시도와 같은 특정 유형의 위협에 대한 보안 인시던트를 생성합니다 SIR .
    • 상관관계 이벤트 필드 값을 연결된 SIR 보안 인시던트 필드에 끌어서 놓기하여 매핑합니다ArcSight ESM.
    • 이벤트 매핑 상세 정보를 확인하기 위한 샘플 상관관계 이벤트를 기반으로 하는 보안 인시던트 레이아웃의 미리 보기 SIR 입니다.
    • 구성 가능한 간격으로 과거 상관관계 이벤트뿐만 아니라 새로운 주목할 만한 이벤트를 수집합니다.
    • 인시던트 생성 기준을 충족 SIR 하지 않는 상관관계 이벤트(예: 우선순위가 낮은 이벤트)를 필터링하여 제외
    • 중복 보안 인시던트를 방지하기 위해 일치하는 필드 값을 기준으로 기존 SIR 보안 인시던트에 대한 이벤트를 집계합니다.
    • 양방향 인터페이스를 통해 인시던트 생성 및/또는 종결 조건에 따라 SIR 상관관계 이벤트를 업데이트합니다.

    지원되는 ServiceNow AI Platform 버전

    이 통합은 New York 패치 6 및 Orlando ServiceNow AI Platform 릴리스를 지원합니다.

    다음 Security Operations 애플리케이션은 .ServiceNow Store 원활한 설치를 위해 아래 나열된 순서대로 한 번에 하나의 애플리케이션을 설치한 다음 활성화하십시오.

    1. 보안 통합 프레임워크
    2. 보안 지원 공통
    3. 보안 인시던트 응답
    4. 보안 운영용 이벤트 및 경보 수집
    5. 통합 허브 플러그인
      1. ServiceNow 통합 허브 런타임
      2. ServiceNow 통합 허브 작업 단계 - REST

    핵심 애플리케이션 설치 보안 운영 에 대한 자세한 내용은 해당 문서를 참조하십시오 제품 또는 애플리케이션에 대한 권리 얻기 보안 운영애플리케이션 활성화 ServiceNow Store.

    ArcSight ESM 지원되는 버전

    이 통합은 관리자 버전 7.0.0.2436에서 테스트되었습니다 ArcSight ESM . 통합은 온 프레미스 및 클라우드/호스팅 서비스 환경을 모두 ArcSight ESM 지원합니다.

    MID 서버

    이렇게 통합하려면 서버가 회사 네트워크 내에 배포될 때 ArcSight ESM 서비스에 연결 ArcSight ESM 하려면 인스턴스에 ServiceNow AI Platform® MID 서버가 설치 및 구성되어 있어야 합니다. 클라우드 서비스를 사용하는 ArcSight ESM 경우에는 MID 서버가 필요하지 않습니다. MID Server에 대한 자세한 내용은 ServiceNow 제품 설명서 웹 사이트를 참조하십시오.

    참조

    참조 문서 식별자 문서 제목
    1 ArcSight ESM 제품 설명서 ArcSight 제품 설명서.
    2 ServiceNow 제품 설명서 웹 사이트 ServiceNow 제품 설명서 웹 사이트