ArcSight ESM Ingestão de eventos para integração Operações de segurança

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • A integração de ingestão de eventos ArcSight ESM com o produto Security Incident Response permite que os analistas de incidentes de segurança coletem eventos correlacionados e automatizem a criação de incidentes de segurança com a plataforma ServiceNow. Os dados são ingeridos continuamente com base em uma programação de pesquisa configurada e são usados por analistas para identificar e responder a possíveis ameaças à segurança cibernética.

    Com essa integração, os eventos correlacionados que são candidatos a incidentes de segurança podem ser ingeridos periodicamente. Você pode mapear campos em eventos correlacionados para campos de incidente de segurança, visualizar a configuração de um evento como um incidente de segurança e configurar a ingestão programada de eventos para criar automaticamente incidentes de segurança de forma contínua.

    Visão geral

    Esta integração fornece a um analista do centro de operações de segurança (SOC) visibilidade para eventos de correlação em ArcSight ESM. Esses dados podem ser integrados a Now Platform incidentes de segurança do Security Incident Response (SIR) para investigação e correção adicionais. Os perfis são criados em sua instância Now Platform para lidar com diferentes tipos de eventos de correlação que são criados e disponibilizados por meio de visualizadores de consulta de correlação em ArcSight ESM. Esses perfis personalizam como diferentes ArcSight ESM campos de eventos correlacionados são exibidos em incidentes de segurança SIR.

    Principais recursos

    Esta integração inclui os seguintes recursos principais:
    • Crie vários perfis de ingestão de eventos para criar SIR incidentes de segurança para tipos específicos de ameaças, como malware e tentativas de acesso não autorizado.
    • Mapeamento de arrastar e soltar de valores de campo de evento de correlação ArcSight ESM ] para campos de incidente de segurança SIR associados.
    • Uma visualização do layout de incidente de segurança SIR com base em eventos de correlação de amostra para validar os detalhes do mapeamento de eventos.
    • Ingerir eventos de correlação histórica, bem como novos eventos notáveis em intervalos configuráveis.
    • Filtrar eventos de correlação que não atendam a SIR critérios de geração de incidentes, por exemplo, eventos de baixa prioridade
    • Agregue eventos a incidentes de segurança SIR existentes com base em valores de campo correspondentes para evitar incidentes de segurança duplicados.
    • Atualize eventos de correlação com base em SIR condicionais de criação e/ou fechamento de incidentes por meio de uma interface bidirecional.

    Versões da Now Platform compatíveis

    Esta integração é compatível com as versões New York Patch 6 e Orlando Now Platform.

    As seguintes aplicações de Operações de segurança devem ser instaladas e ativadas a partir do ServiceNow Store. Instale e ative uma aplicação de cada vez na ordem listada abaixo para garantir uma instalação sem problemas:

    1. Estrutura de integração de segurança
    2. Security Support Common
    3. Resposta a incidentes de segurança
    4. Ingestão de eventos e alertas para Operações de segurança
    5. Plug-ins do Integration Hub
      1. Tempo de execução do hub de integração da ServiceNow
      2. Etapa de ação do hub de integração da ServiceNow - REST

    Para obter mais informações sobre como instalar as aplicações principais Operações de segurança, consulte e .

    ArcSight ESM versões compatíveis

    Esta integração foi testada com a versão 7.0.0.2436 do gerenciador ArcSight ESM. A integração é compatível com ambientes de serviço ArcSight ESM no local e em nuvem/hospedado.

    MID Server

    Esta integração requer um MID Server instalado e configurado em sua instância Now Platform® para se conectar ao serviço ArcSight ESM quando o servidor ArcSight ESM estiver implantado em sua rede corporativa. Se você estiver usando o serviço em nuvem ArcSight ESM, um MID Server não será necessário. Consulte o site de documentação de produtos da ServiceNow para obter mais informações sobre MID Servers.

    Referências

    Referência Identificador de documento Título do Documento
    1 ArcSight ESM documentação do produto Documentação do produto ArcSight.
    2 ServiceNow Site da documentação do produto Site de documentação do produto da ServiceNow