Configure sua instância Now Platform para a integração de ingestão de eventos ArcSight ESM

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • A seção a seguir lista as tarefas de configuração que você deve concluir na instância Now Platform® antes de instalar a aplicação a partir do ServiceNow Store.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Consulte a tabela a seguir e verifique se você concluiu todas as tarefas listadas antes de baixar e instalar a aplicação para garantir uma instalação e configuração sem problemas.

    Configuração de tarefa Descrição
    Verifique se você atribuiu as funções Now Platform® e Security Incident Response (SIR) necessárias.

    As funções a seguir são necessárias para a instalação, configuração e uso da integração em sua instância Now Platform®.

    • Um usuário com a função de administrador Now Platform® (admin) instala a aplicação a partir do ServiceNow Store e atribui a função de administrador de incidentes de segurança (sn_si.admin).
    • Um usuário com a função sn_si.admin supervisiona as seguintes tarefas no Now Platform®:
      • Nomeia, cria e edita perfis de evento.
      • Seleciona e mapeia valores de ArcSight ESM eventos de correlação para incidentes de segurança.
      • Visualiza os detalhes do incidente de segurança para precisão antes de finalizar a configuração.
      • Programa a ingestão contínua de eventos correlacionados.
      • Habilita atualizações de eventos correlacionados quando um incidente SIR é criado e encerrado.
      • Atribui a função de analista de incidentes de segurança (sn_si.analyst).
      • Usuários com sn_si.analyst trabalham com incidentes de segurança.

    Para obter mais informações sobre funções e como atribuir funções a usuários, consulte Funções no site de documentação de produtos da Servicenow.
    Verifique se você está usando a versão 7.0.0.2436 ou posterior do gerenciador ArcSight ESM. Versões anteriores não são compatíveis. Se você tiver acesso ao ArcSight ESM Query Viewer, terá acesso à API necessária para esta integração. Não há nenhuma outra configuração especial necessária para a API.
    Configure o Visualizador de consulta em ArcSight ESM. Antes de ingerir eventos de correlação, você deve configurar o Visualizador de consulta no console do ArcSight ESM. Consulte Configurar o ArcSight ESM Query Viewer para obter detalhes.
    Opcional

    Crie fases personalizadas em ArcSight ESM para atualizações de eventos de correlação.

    		 Um evento de correlação passa por várias fases em seu ciclo de vida antes de ser encerrado. ArcSight ESM fornece fases padrão como Inicial, Monitoramento, Em fila e Encerrado. Algumas dessas fases exigem entradas do usuário, mas outras fases são aplicadas automaticamente ao evento sem qualquer intervenção do usuário (o campo Usuário obrigatório está desmarcado no console ArcSight ESM.

    Você pode criar fases personalizadas que não exigem nenhuma intervenção do usuário e usá-las em sua instância Now Platform®. Consulte Opções adicionais: automatizar atualizações e fechamento de eventos correlacionados com base no status do incidente SIR para obter detalhes.
    Verifique se você instalou e configurou uma aplicação do MID Server. Aplicação de MID Server configurada

    Um MID Server em sua instância Now Platform® é necessário para se conectar ao serviço ArcSight ESM se o servidor ArcSight ESM estiver implantado em sua rede corporativa. Consulte Instalar e configurar a aplicação ServiceNow para a integração de ingestão de eventos ArcSight ESM para obter instruções sobre como configurar uma aplicação do MID Server.

    Consulte o MID Server para obter informações sobre MID Servers.

    Se você estiver usando um serviço hospedado ou em nuvem, que seja acessível pela Internet, um MID Server não será necessário.
    Verifique se as ServiceNow aplicações principais necessárias para oferecer suporte à integração estão instaladas e ativadas antes de instalar a aplicação para a integração.

    Verifique se as Operações de segurança aplicações a seguir estão instaladas e ativadas a partir do ServiceNow Store. Se não estiver instalado, instale e ative uma aplicação de cada vez na seguinte ordem para garantir uma instalação sem problemas.

    1. Resposta a incidentes de segurança
    2. Estrutura de integração de segurança
    3. Security Support Common
    4. Ingestão de eventos e alertas para Operações de segurança: esta aplicação requer:
      • com.glide.hub.integration.runtime => Tempo de execução do IntegrationHub da ServiceNow
      • com.glide.hub.action_step.rest => Etapa de ação do ServiceNow IntegrationHub - REST
    5. Núcleo da ameaça

    Para obter mais informações sobre como instalar as aplicações principais Operações de segurança, consulte Obter direito de um produto ou aplicação Operações de segurança e Ativar uma aplicação ServiceNow Store.

    O que Fazer Depois

    Você configurou com sucesso sua instância Now Platform® para a integração. A próxima etapa é instalar a aplicação ArcSight ESM Ingestão de eventos de segurança para Operações de segurança a partir do ServiceNow Store para a integração.