ArcSight ESM 통합을 위한 Security Operations 이벤트 수집

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기3분

    • ArcSight ESM 제품과 이벤트 수집 통합을 보안 인시던트 응답 통해 보안 인시던트 분석가는 상관관계가 있는 이벤트를 수집하고 플랫폼에서 보안 인시던트 생성을 자동화할 수 있습니다ServiceNow. 데이터는 구성된 폴링 일정에 따라 지속적으로 수집되며, 분석가가 잠재적인 사이버 보안 위협을 식별하고 대응하는 데 사용됩니다.

    이 통합을 통해 보안 인시던트 후보인 상관 이벤트를 주기적으로 수집할 수 있습니다. 상관 관계가 있는 이벤트의 필드를 보안 인시던트 필드에 매핑하고, 이벤트 설정을 보안 인시던트로 미리 보고, 이벤트의 예약된 수집을 설정하여 지속적으로 보안 인시던트를 자동으로 생성할 수 있습니다.

    개요

    이 통합은 보안 운영 센터(SOC) 분석가에게 의 상관관계 이벤트에 ArcSight ESM대한 가시성을 제공합니다. 이 데이터는 추가 조사 및 수정을 위해 보안 인시던트 응답(SIR) 보안 인시던트에 통합 Now Platform 될 수 있습니다. 프로필은 에서 상관 관계 쿼리 뷰어ArcSight ESM를 통해 생성 및 사용할 수 있는 다양한 상관관계 이벤트 유형을 처리하기 위해 인스턴스에 만들어집니다Now Platform. 이러한 프로필은 서로 다른 ArcSight ESM 상관 이벤트 필드가 SIR 보안 인시던트에 표시되는 방식을 사용자 지정합니다.

    주요 기능

    이 통합에는 다음과 같은 주요 기능이 포함됩니다.
    • 여러 이벤트 수집 프로필을 생성하여 맬웨어 및 무단 액세스 시도와 같은 특정 유형의 위협에 대한 보안 인시던트를 생성합니다 SIR .
    • 상관관계 이벤트 필드 값을 연결된 SIR 보안 인시던트 필드에 끌어서 놓기로 매핑 ArcSight ESM 합니다.
    • 이벤트 매핑 상세 정보를 확인하기 위한 샘플 상관관계 이벤트를 기반으로 하는 보안 인시던트 레이아웃의 미리 보기 SIR 입니다.
    • 구성 가능한 간격으로 기록 상관관계 이벤트와 새로운 중요 이벤트를 수집합니다.
    • 인시던트 생성 기준을 충족 SIR 하지 않는 상관관계 이벤트(예: 낮은 우선순위 이벤트)를 필터링합니다.
    • 일치하는 필드 값에 따라 기존 SIR 보안 인시던트에 이벤트를 집계하여 보안 인시던트 중복을 방지합니다.
    • 양방향 인터페이스를 통해 인시던트 생성 및/또는 종결 조건을 기반으로 SIR 상관관계 이벤트를 업데이트합니다.

    지원되는 Now Platform 버전

    이 통합은 New York 패치 6 및 Orlando Now Platform 릴리스를 지원합니다.

    다음 Security Operations 애플리케이션을 에서 설치하고 활성화 ServiceNow Store해야 합니다. 원활한 설치를 위해 아래 나열된 순서대로 한 번에 하나의 애플리케이션을 설치하고 활성화하십시오.

    1. 보안 통합 프레임워크
    2. Security Support Common
    3. Security Incident Response
    4. Security Operations를 위한 이벤트 및 경보 수집
    5. 통합 허브 플러그인
      1. ServiceNow Integration Hub 런타임
      2. ServiceNow 통합 허브 동작 단계 - REST

    핵심 응용 프로그램 설치에 Security Operations 대한 자세한 내용은 해당 문서를 애플리케이션 활성화 ServiceNow Store참조하십시오제품 또는 애플리케이션에 대한 Security Operations 권리 가져오기.

    ArcSight ESM 지원되는 버전

    이 통합은 Manager 버전 7.0.0.2436 ArcSight ESM 에서 테스트되었습니다. 통합은 온프레미스 및 클라우드/호스팅 서비스 환경을 모두 ArcSight ESM 지원합니다.

    MID Server

    이 통합을 위해서는 서버가 회사 네트워크 내에 배포될 때 ArcSight ESM 서비스에 연결 ArcSight ESM 하기 위해 인스턴스에 MID Server Now Platform® 가 설치 및 구성되어 있어야 합니다. 클라우드 서비스를 사용하는 ArcSight ESM 경우에는 MID Server가 필요하지 않습니다. MID Server에 대한 자세한 내용은 ServiceNow 제품 설명서 웹 사이트를 참조하십시오.

    참조

    참조 문서 식별자 문서 제목
    1 ArcSight ESM 제품 설명서 ArcSight 제품 설명서.
    2 ServiceNow 제품 설명서 웹 사이트 ServiceNow 제품 설명서 웹 사이트