Richten Sie Ihre Now Platform -Instanz für die ArcSight ESM -Integration der Event-Erfassung ein

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Im folgenden Abschnitt werden die Setup-Aufgaben aufgelistet, die Sie in Ihrer Instanz Now Platform® ausführen müssen, bevor Sie die Anwendung aus dem ServiceNow Storeinstallieren.

    Vorbereitungen

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Überprüfen Sie in der folgenden Tabelle, ob Sie alle aufgeführten Aufgaben abgeschlossen haben, bevor Sie die Anwendung herunterladen und installieren, um eine reibungslose Installation und Konfiguration zu gewährleisten.

    Setupaufgabe Beschreibung
    Vergewissern Sie sich, dass Sie die erforderlichen Rollen Now Platform® und Security Incident Response (SIR) zugewiesen haben.

    Die folgenden Rollen sind für die Installation, Einrichtung und Verwendung der -Integration in Ihrer Now Platform® -Instanz erforderlich.

    • Ein Benutzer mit der Administratorrolle Now Platform® (admin) installiert die Anwendung aus dem ServiceNow Store und weist die Rolle „Security Incident-Administrator“ (sn_si.admin) zu.
    • Ein Benutzer mit der Rolle „sn_si.admin“ überwacht die folgenden Aufgaben in Now Platform®:
      • Benennt, erstellt und bearbeitet Event-Profile.
      • Wählt Werte aus ArcSight ESM Korrelations-Events aus und ordnet sie Security Incidents zu.
      • Zeigt eine Vorschau der Details zu Security Incidents auf Richtigkeit an, bevor die Konfiguration abgeschlossen wird.
      • Plant die laufende korrelierte Event-Erfassung.
      • Aktiviert korrelierte Event-Aktualisierungen, wenn ein SIR-Incident erstellt und geschlossen wird.
      • Weist die Rolle Security Incident Analyst (sn_si.analyst) zu.
      • Benutzer mit der Rolle sn_si.analyst arbeiten mit Security Incidents.

    Weitere Informationen zu Rollen und zum Zuweisen von Rollen zu Benutzern finden Sie unter Rollen auf der ServiceNow-Website mit Produktdokumentation.
    Vergewissern Sie sich, dass Sie Version 7.0.0.2436 oder höher des ArcSight ESM Managers verwenden. Frühere Versionen werden nicht unterstützt. Wenn Sie Zugriff auf den Abfrage-Viewer ArcSight ESM haben, haben Sie Zugriff auf die API, die für diese Integration erforderlich ist. Für die API ist kein weiteres spezielles Setup erforderlich.
    Richten Sie den Abfrage-Viewer in ArcSight ESMein. Bevor Sie Korrelations-Events erfassen können, müssen Sie den Abfrage-Viewer in der ArcSight ESM -Konsole konfigurieren. Details siehe Richten Sie den Abfrage-Viewer ArcSight ESM ein.
    Optional

    Erstellen Sie in ArcSight ESM benutzerdefinierte Phasen für Aktualisierungen von Korrelationsereignissen.

    		 Ein Korrelationsereignis durchläuft viele Phasen in seinem Lebenszyklus, bevor es geschlossen wird. ArcSight ESM bietet Standardphasen wie „Anfänglich“, „Überwachung“, „In der Warteschlange“ und „Geschlossen“. Einige dieser Phasen erfordern Benutzereingaben, andere Phasen werden jedoch automatisch auf das Event angewendet, ohne dass der Benutzer eingreifen muss (das Feld Benutzer erforderlich ist in der Konsole ArcSight ESM deaktiviert).

    Sie können benutzerdefinierte Phasen erstellen, für die kein Benutzereingriff erforderlich ist, und sie in Ihrer Now Platform® -Instanz verwenden. Details siehe Zusätzliche Optionen: Automatisieren Sie korrelierte Event-Aktualisierungen und -Abschlüsse basierend auf dem Incident-Status SIR ..
    Vergewissern Sie sich, dass Sie eine MID Server-Anwendung installiert und konfiguriert haben. Konfigurierte MID-Server-Anwendung

    Ein MID Server in Ihrer Now Platform® -Instanz ist erforderlich, um eine Verbindung zum ArcSight ESM -Service herzustellen, wenn der ArcSight ESM -Server in Ihrem Unternehmensnetzwerk bereitgestellt wird. Anweisungen zum Konfigurieren einer MID Server-Anwendung finden Sie unter Installieren und konfigurieren Sie die ServiceNow-Anwendung für die ArcSight ESM Event Ingestion-Integration.

    Informationen zu MID Servern finden Sie unter MID Server.

    Wenn Sie einen gehosteten oder Cloud-Service verwenden, der über das Internet zugänglich ist, ist kein MID Server erforderlich.
    Vergewissern Sie sich, dass die Kernanwendungen ServiceNow, die zur Unterstützung der Integration erforderlich sind, installiert und aktiviert sind, bevor Sie die Anwendung für die Integration installieren.

    Vergewissern Sie sich, dass die folgenden Security Operations -Anwendungen über ServiceNow Store] installiert und aktiviert wurden. Wenn nicht installiert ist, installieren und aktivieren Sie jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation zu gewährleisten.

    1. Security Incident Response
    2. Security Integration Framework
    3. Security Support Common
    4. Event and Alert Ingestion for Security Operations: Diese Anwendung erfordert:
      • com.glide.hub.integration.runtime => ServiceNow IntegrationHub-Laufzeit
      • com.glide.hub.action_step.rest => ServiceNow IntegrationHub-Aktionsschritt – REST
    5. Threat Core

    Weitere Informationen zur Installation der Kernanwendungen Security Operations finden Sie unter Rufen Sie eine Berechtigung für ein Produkt oder eine Anwendung von Security Operations ab und Aktivieren Sie eine Anwendung ServiceNow Store ..

    Nächste Maßnahme

    Sie haben Ihre Instanz Now Platform® erfolgreich für die Integration eingerichtet. Der nächste Schritt besteht darin, die Anwendung ArcSight ESM Security Event Ingestion for Security Operations aus dem ServiceNow Store für die -Integration zu installieren.