Uso do Flow Designer com integração de ingestão de eventos ArcSight ESM

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Usando o Integration Hub e o Flow Designer, vários fluxos, subfluxos e ações estão disponíveis com a integração ArcSight ESM.

    Para exibir esses subfluxos, navegue até Flow Designer > Designer e clique na guia Subfluxos. A figura abaixo mostra os subfluxos importantes usados durante a criação do perfil e o trabalho de ingestão programado.
    ArcSight ESM: fluxos
    Esses subfluxos são listados na sequência em que são executados abaixo:
    • Validação de conexão e credencial: este subfluxo valida a conectividade ServiceNow com o servidor ArcSight ESM e as credenciais especificadas. Este subfluxo é usado quando você clica no botão Configurar no bloco ArcSight ESM - Ingestão de eventosno Security Operations > Integrações > Configuração de integrações página.
    • Obter token de autenticação do ArcSight: este subfluxo gera o token de autenticação ArcSight ESM do nome de usuário e senha usando o serviço de login ArcSight ESM. O serviço de login fornece o token de autenticação que pode ser usado para chamar qualquer outro endpoint ArcSight ESM. Este subfluxo é usado em todos os outros subfluxos.
    • Validação de ID do visualizador de consulta: este subfluxo verifica se o ID do visualizador de consulta especificado durante a criação do perfil está presente no servidor ArcSight ESM.
    • Recuperação de regra de correlação: este subfluxo recupera as regras de correlação com base no ID do visualizador de consulta.
    • Obter evento de amostra: este subfluxo busca os eventos de correlação de amostra do servidor ArcSight ESM. Esses eventos de amostra são mapeados para os campos de incidente de segurança na seção Mapeamento do perfil.
    • Validação do ID do recurso da fase: este subfluxo valida o ID do recurso da fase especificado no console ArcSight ESM e busca o nome do recurso.
    • Atualizar comentários do evento correlacionado: este subfluxo atualiza os comentários do evento correlacionado nas seções Inicial e Fechamento do incidente na página Opções adicionais do perfil.
    • Recuperar eventos correlacionados com base na programação de pesquisa: este subfluxo executa o trabalho programado que busca os eventos correlacionados com base no intervalo de pesquisa.
    Durante a execução, os subfluxos acima também acionam vários outros subfluxos e ações, direta ou indiretamente, conforme mostrado abaixo.
    ArcSight ESM: subfluxos adicionais