Instalar e configurar a aplicação ServiceNow para a integração de ingestão de eventos ArcSight ESM

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

3 min. de leitura

Antes de executar a integração em sua instância Now Platform®, conclua estas etapas de instalação e configuração para que a aplicação se integre corretamente aos produtos Resposta a incidentes de segurança e Operações de segurança em sua instância Now Platform.

Antes de Iniciar

Função necessária: sn_si.admin

Procedimento

Se você não instalou a aplicação ArcSight ESM de ServiceNow Store para a integração, consulte Instalar uma integração Operações de segurança e siga as etapas para instalá-la.
Depois de instalar a aplicação com sucesso, navegue até Integrações > Configurações de integrações e localize o bloco ArcSight ESM.
Para configurar a aplicação, clique em Novo.
Como alternativa, se um botão Configurar for exibido em um bloco, clique nele para editar uma configuração existente.

No formulário, preencha os campos.

Campo	Descrição
Nome	Nome exclusivo para o gerenciador ArcSight ESM que será usado na configuração do perfil de integração para distinguir entre várias origens do gerenciador ArcSight ESM, se necessário. Espaços são compatíveis com nomes, mas parênteses não são compatíveis.
URL do endpoint da API do ArcSight	URL do seu servidor ArcSight ESM Manager. Observe que a URL deve incluir a porta da API, por exemplo: `https://arcsight-esm.com:8443`
Nome de usuário da conta da API	Nome de usuário que você criou para sua conta de usuário de API no ArcSight ESM Console do gerenciador.
Senha da API	Senha que você criou para sua conta de usuário de API no ArcSight ESM Console do gerenciador.
Implantação no Local	O padrão é desmarcado. Se você estiver usando a versão baseada em nuvem do ArcSight ESM, que tem acesso direto à Internet, verifique se a caixa de seleção está desmarcada. Para uma implantação no local, marque esta caixa de seleção e especifique a aplicação do MID Server.
Aplicação do MID Server	Especifique um nome de aplicação do MID Server aqui. Esta aplicação de MID Server pode apontar para qualquer um dos MID Servers que foram configurados e qualquer MID Server disponível será usado. Se você não tiver uma aplicação de MID Server configurada, deverá criar uma nova aplicação de MID Server para esta integração. Nota: A aplicação do MID Server pode ser configurada somente por usuários com a função de administrador do sistema.

Para criar uma nova aplicação do MID Server, siga estas etapas:

Navegar até Mid Server > Aplicações e clique em Novo.
Insira um nome para a aplicação do MID Server e selecione um MID Server a ser usado como padrão.
Desmarque a caixa de seleção Incluído na aplicação TODAS e clique em Salvar.
Clique em Editar. Na página Editar Membros, selecione todos os MID Servers disponíveis, mova-os para a Lista de MID Servers e clique em Salvar.
Os MID Servers selecionados serão listados conforme mostrado abaixo.

Dependendo da disponibilidade, um dos MID Servers configurados com a aplicação MID Server será usado.

Insira os detalhes da configuração e especifique a aplicação do MID Server que você criou.

Cada evento de correlação que você ingere do console do gerenciador ArcSight ESM requer um perfil de evento exclusivo em sua instância. No entanto, a origem ArcSight ESM que você configura no formulário Configuração de ingestão de eventos pode ser reutilizada para vários perfis, desde que cada perfil ingere tipos de evento de correlação exclusivos.
Clique em Enviar.
Depois de ser validada e enviada com sucesso, cada configuração de servidor ArcSight ESM é salva na página Integrações de segurança como um bloco. Se os blocos de configuração salvos não forem exibidos na página Integrações de segurança, no canto superior direito da página, na lista de seleção Mostrar configurações, clique em Sim.

O que Fazer Depois

Você instalou e configurou a aplicação com sucesso. A próxima etapa é criar um perfil de evento.