Configurar e habilitar a integração do Elasticsearch

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • O Elasticsearch é um mecanismo distribuído de pesquisa e análise RESTful que se integra facilmente às Operações de segurança.

    Antes de Iniciar

    Antes de poder usar o Elasticsearch, você deve baixá-lo da ServiceNow Store.

    Função necessária: sn_sec_tisc.admin

    • O plug-in Central de segurança de inteligência contra ameaças deve ser instalado e ativado para que você possa usar a integração do Elasticsearch.
    • Obtenha a URL base da API do Elasticsearch, a URL base do Kibana, o nome de usuário e a senha no seu perfil do Elasticsearch.

    Procedimento

    1. Usando sua instância, acesse a Central de segurança de inteligência contra ameaças.
    2. Baixe a integração do ServiceNow Store.
    3. Quando a instalação estiver concluída, navegue até Espaços > Central de segurança de inteligência contra ameaças.
    4. Selecionar Integrações > Integrações de aprimoramento > Todas as integrações.
    5. Como alternativa, você pode navegar até Integrações > Integrações de aprimoramento > Todas as integrações > Pesquisa de detecções
      Nota:
      As integrações configuradas aparecem como uma série de cartões.
    6. No cartão do Elasticsearch, clique em Configurar novo aprimoramento para configurar a integração do Elasticsearch.
    7. Preencha os campos no formulário Configurar novo aprimoramento.
      Tabela 1. Integração de aprimoramento
      Campo Descrição
      Nome Insira um nome para a configuração de pesquisa de detecções.
      Nome do fornecedor Nome do fornecedor Os detalhes do fornecedor selecionado são preenchidos por padrão. Por exemplo, Elasticsearch.
      Tipo de Integração Tipo de integração que você selecionou. Por exemplo, Pesquisa de ameaças.
      Descrição Insira a descrição da integração do Elasticsearch. Por exemplo, a integração de aprimoramento do Elasticsearch ajuda na investigação de um observável, oferecendo suporte à consulta de logs em sua implantação do Elasticsearch.
      Configuração de Integração
      URL de Base da API Elasticsearch A URL base que você adquiriu no site do Elasticsearch.
      URL base do Kibana A URL base do Kibana. [Opcional] Links para uma instância do Kibana, quando disponíveis.
      Nome de usuário Seu nome de usuário do Intel Elasticsearch.
      Senha Sua senha do Intel Elasticsearch.
      Índice do Elasticsearch O índice do Elasticsearch. Estes, por sua vez, conterão documentos exclusivos para cada índice. Os índices são identificados por nomes minúsculos que se referem a ações que são ações executadas (como pesquisar e excluir).
      Campo do intervalo de datas O carimbo de data/hora da configuração.
      Máx. de Linhas O número máximo de linhas que você deseja pesquisar.
      Resultado Mais Antigo (dias) Os primeiros resultados que você deseja ver em número de dias.
      Incluir amostras de dados brutos nos resultados da pesquisa Selecione esta opção para incluir amostras de dados brutos nos resultados da pesquisa de detecções. A quantidade de dados retornados depende da configuração na propriedade do número de linhas de dados brutos nas propriedades do Security Incident Response.
      MID Server Selecione Qualquer para usar qualquer MID Server ativo ou selecione um nome de MID Server específico.
      Nota:
      A configuração desta integração ativa fluxos de trabalho. Para gerenciar os fluxos de trabalho, navegue até o Editor de fluxo de trabalho.
    8. Clique em Salvar.
      Os detalhes da integração são validados e, por padrão, o status da integração do Elasticsearch está desabilitado.
    9. Clique em Habilitar para habilitar a integração do Elasticsearch.

    Resultado

    Depois de configurado, o Elasticsearch pode ser selecionado para executar pesquisa de detecções em observáveis na Central de segurança de inteligência contra ameaças.