이벤트 수집 통합을 위한 ArcSight ESM 인스턴스 설정 Now Platform

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 3분

    • 다음 섹션에는 에서 애플리케이션을 ServiceNow Store설치하기 전에 인스턴스에서 Now Platform® 완료해야 하는 설정 작업이 나열되어 있습니다.

    시작하기 전에

    필요한 역할: admin

    이 태스크 정보

    원활한 설치 및 구성을 위해 애플리케이션을 다운로드하고 설치하기 전에 다음 테이블을 참조하여 나열된 작업을 모두 완료했는지 확인하십시오.

    설정 작업 설명
    필수 Now Platform® 및 보안 인시던트 응답(SIR) 역할을 할당했는지 확인합니다.

    인스턴스에서 Now Platform® 통합을 설치, 설정 및 사용하려면 다음 역할이 필요합니다.

    • 관리자 역할(admin)의 Now Platform® 사용자는 에서 애플리케이션을 ServiceNow Store 설치하고 보안 인시던트 관리자(sn_si.admin) 역할을 할당합니다.
    • sn_si.admin 역할을 가진 사용자는 에서 다음 작업을 감독합니다 Now Platform®.
      • 이벤트 프로파일의 이름을 지정하고, 만들고, 편집합니다.
      • 상관관계 이벤트에서 ArcSight ESM 값을 선택하여 보안 인시던트에 매핑합니다.
      • 구성을 완료하기 전에 정확성을 위해 보안 인시던트 상세 정보를 미리 봅니다.
      • 진행 중인 상관 관계 이벤트 수집을 예약합니다.
      • SIR 인시던트가 생성되고 종결되면 상관 이벤트 업데이트를 활성화합니다.
      • 보안 인시던트 분석가(sn_si.analyst) 역할을 할당합니다.
      • sn_si.analyst 역할을 가진 사용자는 보안 인시던트에 대한 작업을 수행합니다.

    역할 및 사용자에게 역할을 할당하는 방법에 대한 자세한 내용은 ServiceNow 제품 설명서 웹 사이트에서 역할을 참조하십시오.
    Manager 버전 7.0.0.2436 이상을 ArcSight ESM 사용하고 있는지 확인합니다. 이전 버전은 지원되지 않습니다. 쿼리 뷰어에 ArcSight ESM 액세스할 수 있는 경우 이 통합에 필요한 API에 액세스할 수 있습니다. API에 필요한 다른 특수 설정은 없습니다.
    에서 ArcSight ESM쿼리 뷰어를 설정합니다. 상관관계 이벤트를 수집하려면 먼저 콘솔에서 쿼리 뷰어를 ArcSight ESM 구성해야 합니다. 자세한 내용은 ArcSight ESM 쿼리 뷰어 설정 문서를 참조하십시오.
    옵션

    에서 상관관계 이벤트 업데이트를 위한 사용자 지정 스테이지를 ArcSight ESM 만듭니다.

    		 상관관계 이벤트는 종결되기 전에 수명주기에서 여러 스테이지를 거칩니다. ArcSight ESM 은 초기, 모니터링, 큐에 대기 중 및 종결과 같은 기본 스테이지를 제공합니다. 이러한 스테이지 중 일부는 사용자 입력이 필요하지만 다른 스테이지는 사용자 개입 없이 이벤트에 자동으로 적용됩니다(콘솔에서 ArcSight ESM사용자 필수 필드가 선택되지 않음).

    사용자 개입이 필요하지 않은 사용자 지정 스테이지를 생성하여 인스턴스에서 사용할 수 있습니다 Now Platform® . 자세한 내용은 추가 옵션: 인시던트 상태에 따라 SIR 상관 관계 있는 이벤트 업데이트 및 종결 자동화 문서를 참조하십시오.
    MID 서버 애플리케이션을 설치 및 구성했는지 확인하십시오. 구성된 MID 서버 애플리케이션

    서버가 회사 네트워크 내에 배포된 경우 서비스에 연결 ArcSight ESM 하려면 인스턴스의 ArcSight ESM MID 서버가 Now Platform® 필요합니다. MID 서버 애플리케이션을 구성하는 방법에 대한 지침은 을 참조하십시오 이벤트 수집 통합을 위한 ArcSight ESM ServiceNow 애플리케이션 설치 및 구성 .

    MID Server에 대한 자세한 내용은 MID Server 를 참조하십시오.

    인터넷에 액세스할 수 있는 호스팅 서비스 또는 클라우드 서비스를 사용하는 경우에는 MID 서버가 필요하지 않습니다.
    통합을 위한 애플리케이션을 설치하기 전에 통합을 지원하는 데 필요한 핵심 애플리케이션이 설치되고 활성화되어 있는지 ServiceNow 확인합니다.

    다음 보안 운영 응용 프로그램이 에서 설치 및 활성화 ServiceNow Store되어 있는지 확인합니다. 설치되지 않은 경우 원활한 설치를 위해 다음 순서로 한 번에 하나의 애플리케이션을 설치하고 활성화하십시오.

    1. 보안 인시던트 응답
    2. 보안 통합 프레임워크
    3. Security Support Common
    4. Security Operations용 이벤트 및 경보 수집: 이 애플리케이션에는 다음이 필요합니다.
      • com.glide.hub.integration.runtime => ServiceNow 통합 허브 런타임
      • com.glide.hub.action_step.rest => ServiceNow 통합 허브 작업 단계 - REST
    5. 위협 코어

    핵심 응용 프로그램 설치에 보안 운영 대한 자세한 내용은 해당 문서를 참조하십시오.

    다음에 수행할 작업

    통합을 위한 인스턴스를 성공적으로 설정했습니다 Now Platform® . 다음 단계는 통합을 위해 보안 운영 애플리케이션을 위한 보안 이벤트 수집을 ServiceNow Store 설치하는 ArcSight ESM 것입니다.