이벤트 수집 통합을 위한 ArcSight ESM 인스턴스 설정 Now Platform

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 다음 섹션에는 에서 애플리케이션을 설치하기 전에 인스턴스에서 Now Platform® 완료해야 하는 설정 작업이 나열되어 ServiceNow Store있습니다.

    시작하기 전에

    필요한 역할: admin

    이 태스크 정보

    원활한 설치 및 구성을 위해 애플리케이션을 다운로드하고 설치하기 전에 다음 테이블을 참조하여 나열된 작업을 모두 완료했는지 확인하십시오.

    설정 작업 설명
    필수 Now Platform® 역할과 보안 인시던트 응답(SIR) 역할이 할당되었는지 확인합니다.

    인스턴스에서 Now Platform® 통합을 설치, 설정 및 사용하려면 다음 역할이 필요합니다.

    • 관리자 역할(admin)을 가진 Now Platform® 사용자는 에서 애플리케이션을 ServiceNow Store 설치하고 보안 인시던트 관리자(sn_si.admin) 역할을 할당합니다.
    • sn_si.admin 역할을 가진 사용자는 에서 다음 작업을 감독합니다 Now Platform®.
      • 이벤트 프로파일의 이름을 지정하고, 만들고, 편집합니다.
      • 상관관계 이벤트에서 값을 선택하여 보안 인시던트에 ArcSight ESM 매핑합니다.
      • 구성을 완료하기 전에 정확성을 위해 보안 인시던트 상세 정보를 미리 봅니다.
      • 진행 중인 상관 관계 이벤트 수집을 예약합니다.
      • SIR 인시던트가 생성되고 닫힐 때 상관 이벤트 업데이트를 사용하도록 설정합니다.
      • 보안 인시던트 분석가(sn_si.analyst) 역할을 할당합니다.
      • sn_si.analyst 사용자는 보안 인시던트를 작업합니다.

    역할에 대한 내용 및 사용자에게 역할 할당에 대한 자세한 내용은 ServiceNow 제품 설명서 웹 사이트에서 역할을 참조하십시오.
    Manager 버전 7.0.0.2436 이상을 ArcSight ESM 사용하고 있는지 확인합니다. 이전 버전은 지원되지 않습니다. 쿼리 뷰어에 ArcSight ESM 액세스할 수 있는 경우 이 통합에 필요한 API에 액세스할 수 있습니다. API에 필요한 다른 특수 설정은 없습니다.
    에서 쿼리 뷰어 ArcSight ESM를 설정합니다. 상관관계 이벤트를 수집하려면 먼저 콘솔에서 쿼리 뷰어를 ArcSight ESM 구성해야 합니다. 자세한 내용은 쿼리 뷰어 설정 ArcSight ESM 문서를 참조하십시오.
    옵션

    상관관계 이벤트 업데이트를 위한 사용자 지정 스테이지를 생성합니다 ArcSight ESM .

    		 상관관계 이벤트는 종결되기 전에 수명주기에서 여러 단계를 거칩니다. ArcSight ESM 은 초기, 모니터링, 큐에 대기 중, 종결됨과 같은 기본 스테이지를 제공합니다. 이러한 스테이지 중 일부는 사용자 입력이 필요하지만 다른 스테이지는 사용자 개입 없이 이벤트에 자동으로 적용됩니다(콘솔에서 ArcSight ESM사용자 필수 필드가 선택되어 있지 않음).

    사용자 개입이 필요 없는 사용자 지정 스테이지를 생성하고 인스턴스에서 사용할 수 있습니다 Now Platform® . 자세한 내용은 추가 옵션: 인시던트 상태에 따라 SIR 상관 관계 있는 이벤트 업데이트 및 종결 자동화 문서를 참조하십시오.
    MID Server 애플리케이션을 설치하고 구성했는지 확인하십시오. MID 서버 애플리케이션 구성

    서버가 회사 네트워크 내에 배포된 경우 ArcSight ESM 인스턴스에 있는 MID Server Now Platform® 가 서비스에 연결 ArcSight ESM 되어야 합니다. MID Server 애플리케이션을 구성하는 방법에 대한 지침은 을 참조하십시오 이벤트 수집 통합을 위한 ArcSight ESM ServiceNow 애플리케이션 설치 및 구성 .

    MID Server에 대한 자세한 내용은 MID Server 를 참조하십시오.

    인터넷에 액세스할 수 있는 호스팅 서비스 또는 클라우드 서비스를 사용하는 경우에는 MID Server가 필요하지 않습니다.
    통합을 위한 애플리케이션을 설치하기 전에 통합을 지원하는 데 필요한 핵심 애플리케이션이 설치되고 활성화되어 있는지 ServiceNow 확인합니다.

    다음 Security Operations 애플리케이션이 에서 설치 및 활성화 ServiceNow Store되어 있는지 확인합니다. 설치되지 않은 경우 원활한 설치를 위해 다음 순서대로 한 번에 하나의 애플리케이션을 설치하고 활성화하십시오.

    1. Security Incident Response
    2. 보안 통합 프레임워크
    3. Security Support Common
    4. Security Operations용 이벤트 및 경보 수집: 이 애플리케이션에는 다음이 필요합니다.
      • com.glide.hub.integration.runtime => ServiceNow 통합 허브 런타임
      • com.glide.hub.action_step.rest => ServiceNow IntegrationHub 동작 단계 - REST
    5. 위협 코어

    핵심 응용 프로그램 설치에 Security Operations 대한 자세한 내용은 해당 문서를 애플리케이션 활성화 ServiceNow Store참조하십시오제품 또는 애플리케이션에 대한 Security Operations 권리 가져오기.

    다음에 수행할 작업

    통합을 위한 인스턴스를 성공적으로 설정 Now Platform® 했습니다. 다음 단계는 통합을 위해 Security Operations 애플리케이션용 보안 이벤트 수집을 ServiceNow Store 설치하는 ArcSight ESM 것입니다.