Introdução ao Elasticsearch - Incident Enrichment integration

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Elasticsearch é um mecanismo de pesquisa e análise RESTful distribuído que se integra facilmente com Operações de segurança. Antes de poder usar a integração Elasticsearch - Incident Enrichment, você deve baixá-la do ServiceNow Store e adicionar a URL base da API e as credenciais de login apropriadas.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Baixe a integração do ServiceNow Store.
    2. Quando a instalação estiver concluída, acesse Elasticsearch e obtenha a URL base da API no seu perfil do Elasticsearch.
    3. Em sua instância, navegue até Operações de segurança > Integrações > Configurações de Integração.
      As integrações de segurança disponíveis aparecem como uma série de cartões.
    4. No cartão Elasticsearch - Aprimoramento de incidentes, clique em Novo.
      Configuração elástica
    5. Preencha os campos conforme necessário.
      Campo Descrição
      Nome O nome desta configuração.
      URL de Base da API Elasticsearch A URL base que você adquiriu do site Elasticsearch.
      URL do Link [Opcional] Links para uma instância do Kibana, quando disponível
      Nome de usuário Seu nome de usuário Intel Elasticsearch.
      Senha Sua senha Intel Elasticsearch.
      Máx. de Linhas O número máximo de linhas que você deseja pesquisar.
      Resultado Mais Antigo (dias) Os primeiros resultados que você deseja ver em número de dias.
      Incluir amostras de dados brutos nos resultados da pesquisa Selecione esta opção para incluir amostras de dados brutos nos resultados da pesquisa de detecções. A quantidade de dados retornados depende da configuração na propriedade do número de linhas de dados brutos nas propriedades do Security Incident Response.
      MID Server Selecione Qualquer para usar qualquer MID Server ativo ou selecione um nome de MID Server específico.
      Nota:
      A configuração desta integração ativa fluxos de trabalho. Para gerenciar os fluxos de trabalho, navegue até o Editor de fluxode trabalho .
    6. Clique em Enviar.
      O cartão de configuração de integração é exibido.
    7. Ao exibir o novo cartão de configuração, você pode clicar em Configurar ou Excluir para mudar ou excluir a configuração, respectivamente.
    8. Para retornar à lista original de cartões de configuração de integração, selecione Não na lista suspensa Mostrar configurações.

    Resultado

    Depois de configurada, a integração Elasticsearch - Incident Enrichment pode ser selecionada para publicar observáveis em listas de observação no Security Incident Response.