Uso do Flow Designer com integração de ingestão de eventos ArcSight ESM

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Usando o Integration Hub e o Flow Designer, vários fluxos, subfluxos e ações estão disponíveis com a integração ArcSight ESM.

    Para exibir esses subfluxos, navegue até Flow Designer > Designer e clique na guia Subfluxos. A figura abaixo mostra os subfluxos importantes usados durante a criação do perfil e o trabalho de ingestão programada.
    ArcSight ESM: fluxos
    Esses subfluxos são listados na sequência em que são executados abaixo:
    • Validação de conexão e credencial: este subfluxo valida a conectividade ServiceNow com o servidor ArcSight ESM e as credenciais especificadas. Este subfluxo é usado quando você clica no botão Configurar no bloco ArcSight ESM - Ingestão de eventosno Operações de segurança > Integrações > Configuração de integrações página.
    • Obter token de autenticação do ArcSight: este subfluxo gera o token de autenticação ArcSight ESM a partir do nome de usuário e senha usando o serviço de login ArcSight ESM. O serviço de login fornece o token de autenticação que pode ser usado para chamar qualquer outro ArcSight ESM endpoint. Este subfluxo é usado em todos os outros subfluxos.
    • Validação do ID do visualizador de consulta: este subfluxo verifica se o ID do visualizador de consulta especificado durante a criação do perfil está presente no servidor ArcSight ESM.
    • Recuperação de regra de correlação: este subfluxo recupera as regras de correlação com base na ID do visualizador de consulta.
    • Obter evento de amostra: este subfluxo busca os eventos de correlação de amostra do servidor ArcSight ESM. Esses eventos de amostra são mapeados para os campos de incidente de segurança na seção Mapeamento do perfil.
    • Validação do ID do recurso da fase: este subfluxo valida o ID do recurso da fase especificado no console ArcSight ESM e busca o nome do recurso.
    • Atualizar comentários de eventos correlacionados: este subfluxo atualiza os comentários de eventos correlacionados nas seções Inicial e Fechamento do incidente na página Opções adicionais do perfil.
    • Recuperar eventos correlacionados com base na programação de pesquisa: este subfluxo executa o trabalho agendado que busca os eventos correlacionados com base no intervalo de pesquisa.
    Durante a execução, os subfluxos acima também acionam vários outros subfluxos e ações direta ou indiretamente, conforme mostrado abaixo.
    ArcSight ESM: subfluxos adicionais