Installieren und konfigurieren Sie die ServiceNow-Anwendung für die ArcSight ESM Event Ingestion-Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Führen Sie diese Installations- und Konfigurationsschritte aus, bevor Sie die Integration in Ihrer Instanz von Now Platform® ausführen, damit die Anwendung ordnungsgemäß in die Produkte Security Incident Response und Security Operations in Ihrer Instanz von Now Platform integriert wird.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wenn Sie die Anwendung ArcSight ESM nicht aus dem ServiceNow Store für die Integration installiert haben, lesen Sie Installieren Sie eine Security Operations -Integration, und führen Sie die Schritte zur Installation aus.
    2. Nachdem Sie die Anwendung erfolgreich installiert haben, navigieren Sie zu Integrationen > Integrationskonfigurationen und suchen Sie die Kachel ArcSight ESM.
    3. Um die Anwendung zu konfigurieren, klicken Sie auf Neu.
    4. Wenn auf einer Kachel die Schaltfläche Konfigurieren angezeigt wird, klicken Sie darauf, um eine vorhandene Konfiguration zu bearbeiten.
    5. Füllen Sie die Felder des Formulars aus.
      FeldBeschreibung
      Name Eindeutiger Name für den ArcSight ESM Manager, der in der Konfiguration des Integrationsprofils verwendet wird, um bei Bedarf zwischen mehreren ArcSight ESM Manager-Quellen zu unterscheiden.

      Leerzeichen werden für Namen unterstützt, Klammern jedoch nicht.
      URL des ArcSight-API-Endpunkts URL für Ihren ArcSight ESM Manager-Server. Beachten Sie, dass die URL den API-Port enthalten muss, z. B.: https://arcsight-esm.com:8443
      API-Kontobenutzername Benutzername, den Sie für Ihr API-Benutzerkonto in der ArcSight ESM Managerkonsole erstellt haben.
      API-Passwort Passwort, das Sie für Ihr API-Benutzerkonto in der ArcSight ESM Managerkonsole erstellt haben
      Lokale Bereitstellung Standardmäßig ist dieses Kontrollkästchen deaktiviert.

      Wenn Sie die cloudbasierte Version von ArcSight ESM mit direktem Internetzugang verwenden, stellen Sie sicher, dass das Kontrollkästchen deaktiviert ist.

      Aktivieren Sie für eine lokale Bereitstellung dieses Kontrollkästchen, und geben Sie die MID Server-Anwendung an.
      MID-Server-Anwendung Geben Sie hier einen MID Server-Anwendungsnamen an. Diese MID-Server-Anwendung kann auf einen der konfigurierten MID-Server verweisen, und jeder verfügbare MID-Server wird verwendet.

      Wenn Sie keine MID Server-Anwendung konfiguriert haben, müssen Sie eine neue MID Server-Anwendung für diese Integration erstellen.

      Hinweis:
      Die MID Server-Anwendung kann nur von Benutzern mit der Systemadministratorrolle konfiguriert werden.
      Führen Sie die folgenden Schritte aus, um eine neue MID Server-Anwendung zu erstellen:
      1. Navigieren zu MID-Server > Anwendungen und klicken Sie auf Neu.
      2. Geben Sie einen Namen für die MID Server-Anwendung ein, und wählen Sie einen MID Server aus, der als Standard verwendet werden soll.
      3. Deaktivieren Sie das Kontrollkästchen In Anwendung ALLE enthalten, und klicken Sie auf Speichern.
        ArcSight ESM: MID-Anwendung erstellen
      4. Klicken Sie auf Bearbeiten. Wählen Sie auf der Seite „ Mitglieder bearbeiten “ alle verfügbaren MID Server aus, verschieben Sie sie in die MID Server-Liste, und klicken Sie auf Speichern.
      5. Die ausgewählten MID Server werden wie unten gezeigt aufgelistet.
        ArcSight ESM: MID-Anwendung erstellen: MID
      Je nach Verfügbarkeit wird einer der mit der MID Server-Anwendung konfigurierten MID Server verwendet.
    6. Geben Sie die Konfigurationsdetails ein, und geben Sie die von Ihnen erstellte MID Server-Anwendung an.
      ArcSight ESM: Konfiguration
      Jedes Korrelationsereignis, das Sie über die Manager-Konsole ArcSight ESM erfassen, erfordert ein eindeutiges Ereignisprofil in Ihrer Instanz. Die Quelle ArcSight ESM, die Sie im Formular Event-Erfassungskonfiguration konfigurieren, kann jedoch für mehrere Profile wiederverwendet werden, solange jedes Profil eindeutige Korrelations-Event-Typen erfasst.
    7. Klicken Sie auf Absenden.
      Nach erfolgreicher Validierung und Übermittlung wird jede Serverkonfiguration ArcSight ESM auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln nicht auf der Seite „Sicherheitsintegrationen“ angezeigt werden, klicken Sie in der oberen rechten Ecke der Seite in der Auswahlliste Konfigurationen anzeigen auf Ja.

    Nächste Maßnahme

    Sie haben die Anwendung erfolgreich installiert und konfiguriert. Der nächste Schritt besteht darin, ein Event-Profil zu erstellen.