ArcSight ESM Ingestão de eventos para integração Security Operations

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • A integração de ingestão de eventos ArcSight ESM com o produto Security Incident Response permite que os analistas de incidentes de segurança coletem eventos correlacionados e automatizem a criação de incidentes de segurança com a plataforma ServiceNow. Os dados são ingeridos continuamente com base em uma programação de pesquisa configurada e são usados por analistas para identificar e responder a possíveis ameaças à segurança cibernética.

    Com esta integração, os eventos correlacionados que são candidatos a incidentes de segurança podem ser ingeridos periodicamente. Você pode mapear campos em eventos correlacionados para campos de incidente de segurança, visualizar a configuração de um evento como um incidente de segurança e configurar a ingestão programada de eventos para criar automaticamente incidentes de segurança de forma contínua.

    Visão geral

    Esta integração fornece a um analista do centro de operações de segurança (SOC) visibilidade para eventos de correlação em ArcSight ESM. Esses dados podem ser integrados a incidentes de segurança do Now Platform Security Incident Response (SIR) para investigação e correção adicionais. Os perfis são criados na sua instância Now Platform para lidar com diferentes tipos de evento de correlação que são criados e disponibilizados por meio de visualizadores de consulta de correlação em ArcSight ESM. Esses perfis personalizam como diferentes ArcSight ESM campos de evento correlacionados são exibidos em incidentes de segurança SIR.

    Principais recursos

    Esta integração inclui os seguintes recursos principais:
    • Crie vários perfis de ingestão de eventos para criar SIR incidentes de segurança para tipos específicos de ameaças, como malware e tentativas de acesso não autorizado.
    • Mapeamento de arrastar e soltar de valores de campo de evento de correlação ArcSight ESM ] para campos de incidente de segurança SIR associados.
    • Uma visualização do layout do incidente de segurança SIR com base em eventos de correlação de amostra para validar os detalhes do mapeamento de eventos.
    • Inclua eventos de correlação históricos, bem como novos eventos notáveis em intervalos configuráveis.
    • Filtrar eventos de correlação que não atendem a SIR critérios de geração de incidentes, por exemplo, eventos de baixa prioridade
    • Agregue eventos a incidentes de segurança SIR existentes com base em valores de campo correspondentes para evitar incidentes de segurança duplicados.
    • Atualize eventos de correlação com base na criação de incidentes SIR e/ou condicionais de fechamento por meio de uma interface bidirecional.

    Now Platform Versões compatíveis

    Esta integração é compatível com as versões New York Patch 6 e Orlando Now Platform.

    As seguintes aplicações do Security Operations devem ser instaladas e ativadas a partir de ServiceNow Store. Instale e ative um aplicativo de cada vez na ordem listada abaixo para garantir uma instalação sem problemas:

    1. Security Integration Framework
    2. Security Support Common
    3. Security Incident Response
    4. Ingestão de eventos e alertas para Security Operations
    5. Plug-ins do Integration Hub
      1. ServiceNow Integration Hub Runtime
      2. Etapa de ação do Hub de integração da ServiceNow - REST

    Para obter mais informações sobre como instalar as aplicações principais Security Operations, consulte Obter direito para um produto ou aplicação Security Operations e Ativar uma aplicação ServiceNow Store.

    ArcSight ESM versões compatíveis

    Esta integração foi testada com a versão 7.0.0.2436 do ArcSight ESM Manager. A integração oferece suporte a ambientes de serviço no local e em nuvem ArcSight ESM / hospedado.

    MID Server

    Esta integração requer um MID Server instalado e configurado em sua instância Now Platform® para se conectar ao serviço ArcSight ESM quando o servidor ArcSight ESM é implantado em sua rede corporativa. Se você estiver usando o serviço em nuvem ArcSight ESM, um MID Server não será necessário. Consulte o site de documentação do produto da ServiceNow para obter mais informações sobre MID Servers.

    Referências

    Referência Identificador de documento Título do Documento
    1 ArcSight ESM documentação do produto Documentação do produto ArcSight.
    2 ServiceNow Site da documentação do produto Site de documentação do produto da ServiceNow