ArcSight ESM Event-Erfassung für die Integration von Security Operations .

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Die Integration der Ereigniserfassung von ArcSight ESM mit dem Produkt Security Incident Response ermöglicht Security Incident-Analysten die Erfassung korrelierter Ereignisse und die Automatisierung der Erstellung von Security Incidents mit der Plattform ServiceNow. Daten werden kontinuierlich basierend auf einem konfigurierten Abfragezeitplan erfasst und von Analysten verwendet, um potenzielle Cybersicherheitsbedrohungen zu erkennen und darauf zu reagieren.

    Mit dieser Integration können korrelierte Events, die Kandidaten für Security Incidents sind, regelmäßig erfasst werden. Sie können Felder in korrelierten Events Security Incident-Feldern zuordnen, eine Vorschau der Einrichtung eines Events als Security Incident anzeigen und die geplante Erfassung von Events einrichten, um Security Incidents kontinuierlich zu erstellen.

    Übersicht

    Diese Integration bietet einem SOC-Analysten (Security Operations Center) Einblick in Korrelations-Events in ArcSight ESM. Diese Daten können zur weiteren Untersuchung und Korrektur in Security Incidents von Now Platform Security Incident Response (SIR) integriert werden. Profile werden in Ihrer Instanz Now Platform erstellt, um verschiedene Korrelationsereignistypen zu verarbeiten, die erstellt und über Korrelationsabfrage-Viewer in ArcSight ESMverfügbar gemacht werden. Diese Profile passen an, wie verschiedene ArcSight ESM korrelierte Event-Felder in SIR-Security Incidents angezeigt werden.

    Schlüsselfunktionen

    Diese Integration umfasst die folgenden wichtigen Funktionen:
    • Erstellen Sie mehrere Event-Erfassungsprofile, um SIR Security Incidents für bestimmte Arten von Bedrohungen wie Malware und nicht autorisierte Zugriffsversuche zu erstellen.
    • Drag-and-Drop-Zuordnung von ArcSight ESM Korrelations-Event-Feldwerten zu zugeordneten SIR Security Incident-Feldern.
    • Eine Vorschau des SIR Security Incident-Layouts basierend auf Beispiel-Korrelations-Events zur Validierung der Event-Zuordnungsdetails.
    • Erfassen Sie historische Korrelationsereignisse sowie neue wichtige Ereignisse in konfigurierbaren Intervallen.
    • Filtern Sie Korrelations-Events heraus, die die Kriterien für die Incident-Generierung von SIR nicht erfüllen, z. B. Events mit niedriger Priorität
    • Fassen Sie Events basierend auf übereinstimmenden Feldwerten zu vorhandenen SIR Security Incidents zusammen, um doppelte Security Incidents zu vermeiden.
    • Aktualisieren Sie Korrelations-Events basierend auf SIR Incident-Erstellungs- und/oder -Abschlussbedingungen über eine bidirektionale Schnittstelle.

    Unterstützte Versionen Now Platform .

    Diese Integration unterstützt die Releases New York Patch 6 und Orlando Now Platform.

    Die folgenden Security Operations-Anwendungen müssen über ServiceNow Storeinstalliert und aktiviert werden. Installieren und aktivieren Sie jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation zu gewährleisten:

    1. Security Integration Framework
    2. Security Support Common
    3. Security Incident Response
    4. Event- und Warnungserfassung für Sicherheitsvorgänge
    5. Integrations-Hub-Plugins
      1. ServiceNow Integration Hub-Laufzeit
      2. Aktionsschritt ServiceNow Integration Hub – REST

    Weitere Informationen zur Installation der Kernanwendungen Security Operations finden Sie unter Rufen Sie eine Berechtigung für ein Produkt oder eine Anwendung von Security Operations ab und Aktivieren Sie eine Anwendung ServiceNow Store ..

    ArcSight ESM unterstützte Versionen

    Diese Integration wurde mit Version 7.0.0.2436 des ArcSight ESM Managers getestet. Die Integration unterstützt sowohl ArcSight ESM lokale als auch Cloud-/gehostete Serviceumgebungen.

    MID-Server

    Für diese Integration muss ein installierter und konfigurierter MID Server in Ihrer Now Platform® -Instanz eine Verbindung zum ArcSight ESM -Service herstellen, wenn der ArcSight ESM -Server in Ihrem Unternehmensnetzwerk bereitgestellt wird. Wenn Sie den Cloud-Service ArcSight ESM verwenden, ist kein MID Server erforderlich. Weitere Informationen zu MID Servern finden Sie auf der Website der ServiceNow-Produktdokumentation.

    Referenzen

    Referenz Dokumentbezeichner Dokumententitel
    1 ArcSight ESM Produktdokumentation ArcSight-Produktdokumentation.
    2 ServiceNow Produktdokumentations-Website ServiceNow-Website mit Produktdokumentation