Configurer votre Now Platform instance pour l’intégration de l’ingestion d’événements ArcSight ESM

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • La section suivante répertorie les tâches de configuration que vous devez effectuer dans votre Now Platform® instance avant d’installer l’application à partir du ServiceNow Store.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Reportez-vous au tableau suivant et vérifiez que vous avez effectué toutes les tâches répertoriées avant de télécharger et d’installer l’application pour garantir une installation et une configuration fluides.

    Tâche de configuration Description
    Vérifiez que vous avez affecté les rôles requis Now Platform® et Security Incident Response (SIR).

    Les rôles suivants sont requis pour l’installation, la configuration et l’utilisation de l’intégration dans votre Now Platform® instance.

    • Un utilisateur doté du Now Platform® rôle administrateur (admin) installe l’application à partir de et ServiceNow Store affecte le rôle d’administrateur d’incident de sécurité (sn_si.admin).
    • Un utilisateur disposant du rôle sn_si.admin supervise les tâches suivantes dans :Now Platform®
      • Nome, crée et modifie les profils d’événements.
      • Sélectionne et mappe les valeurs des événements de corrélation aux incidents de ArcSight ESM sécurité.
      • Affiche un aperçu de l’exactitude des détails de l’incident de sécurité avant de finaliser la configuration.
      • Planifie l’ingestion continue d’événements corrélés.
      • Active les mises à jour d’événements corrélés lorsqu’un incident SIR est créé et fermé.
      • Affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst).
      • Les utilisateurs disposant du sn_si.analyst travaillent avec des incidents de sécurité.

    Pour plus d’informations sur les rôles et l’affectation des rôles aux utilisateurs, consultez Rôles sur le site web de la documentation produit ServiceNow.
    Vérifiez que vous utilisez la ArcSight ESM version 7.0.0.2436 ou une version ultérieure du gestionnaire. Les versions antérieures ne sont pas prises en charge. Si vous avez accès à la ArcSight ESM visionneuse de requête, vous avez accès à l’API requise pour cette intégration. Aucune autre configuration spéciale n’est requise pour l’API.
    Configurez la visionneuse de requêtes dans ArcSight ESM. Avant de pouvoir ingérer des événements de corrélation, vous devez configurer la visionneuse de requêtes dans la ArcSight ESM console. Consultez Configurer la visionneuse de ArcSight ESM requêtes pour en savoir plus.
    Facultatif

    Créez des étapes personnalisées pour les mises à jour d’événements ArcSight ESM de corrélation.

    		 Un événement de corrélation passe par de nombreuses étapes dans son cycle de vie avant d’être fermé. ArcSight ESM fournit des étapes par défaut telles que Initiale, Surveillance, Mis en file d’attente et Fermé. Certaines de ces étapes nécessitent des entrées de l’utilisateur, mais d’autres étapes sont automatiquement appliquées à l’événement sans aucune intervention de l’utilisateur (le champ Utilisateur requis n’est pas coché dans la ArcSight ESM console.

    Vous pouvez créer des étapes personnalisées qui ne nécessitent aucune intervention de l’utilisateur et les utiliser dans votre Now Platform® instance. Consultez Options supplémentaires : Automatiser les mises à jour et la fermeture des événements corrélés en fonction de l’état de SIR l’incident pour en savoir plus.
    Vérifiez que vous avez installé et configuré une application de MID Server. Application Serveur MID configurée

    Un MID Server dans votre Now Platform® instance est requis pour se connecter au ArcSight ESM service si le ArcSight ESM serveur est déployé au sein de votre réseau d’entreprise. Consultez Installer et configurer l’application ServiceNow pour l’intégration de l’ingestion d’événements ArcSight ESM les instructions de configuration d’une application de MID Server.

    Consultez le MID Server pour plus d’informations sur les MID Servers.

    Si vous utilisez un service hébergé ou cloud, c’est-à-dire accessible par Internet, un MID Server n’est pas nécessaire.
    Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées avant d’installer l’application pour l’intégration.

    Vérifiez que les applications suivantes Security Operations sont installées et activées à partir du ServiceNow Store. Si ce n’est pas le cas, installez et activez une application à la fois dans l’ordre suivant pour garantir une installation sans problème.

    1. Réponse aux incidents de sécurité
    2. Cadre de travail des intégrations de sécurité
    3. Security Support Common
    4. Ingestion d’événements et d’alertes pour Security Operations : cette application nécessite :
      • com.glide.hub.integration.runtime => ServiceNow IntegrationHub Runtime
      • com.glide.hub.action_step.rest => ServiceNow Centre d’intégration Étape d’action : REST
    5. Cœur de la menace

    Pour plus d’informations sur l’installation des Security Operations applications principales, reportez-vous aux sections Obtenir une autorisation pour un produit ou une Security Operations application et Activer une ServiceNow Store application.

    Que faire ensuite

    Vous avez correctement configuré votre Now Platform® instance pour l’intégration. L’étape suivante consiste à installer l’application ArcSight ESM Security Event Ingestion pour Security Operations à partir de pour ServiceNow Store l’intégration.