ArcSight ESM Ingestion d’événements pour Opérations de sécurité l’intégration

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • L’intégration ArcSight ESM de l’ingestion Réponse aux incidents de sécurité d’événements au produit permet aux analystes d’incidents de sécurité de collecter des événements corrélés et d’automatiser la création d’incidents de sécurité avec la ServiceNow plateforme. Les données sont ingérées en permanence en fonction d’un calendrier d’interrogation configuré, et elles sont utilisées par les analystes pour identifier et répondre aux menaces potentielles de cybersécurité.

    Grâce à cette intégration, les événements corrélés candidats aux incidents de sécurité peuvent être ingérés périodiquement. Vous pouvez mapper les champs des événements corrélés aux champs d’incident de sécurité, prévisualiser la configuration d’un événement en tant qu’incident de sécurité et configurer l’ingestion programmée d’événements pour créer automatiquement des incidents de sécurité sur une base continue.

    Vue d'ensemble

    Cette intégration fournit à un analyste du centre des opérations de sécurité (SOC) une visibilité sur les événements de corrélation dans ArcSight ESM. Ces données peuvent être intégrées aux Now Platform incidents de sécurité de Réponse aux incidents de sécurité (SIR) pour une enquête plus approfondie et une correction. Des profils sont créés dans votre Now Platform instance pour gérer les différents types d’événements de corrélation qui sont créés et mis à disposition via les visionneuses de requêtes de corrélation dans ArcSight ESM. Ces profils personnalisent la façon dont les différents ArcSight ESM champs d’événements corrélés sont affichés sur les incidents de sécurité SIR.

    Fonctionnalités principales

    Cette intégration comprend les fonctionnalités clés suivantes :
    • Créez plusieurs profils d’ingestion d’événements pour créer SIR des incidents de sécurité pour des types de menaces spécifiques tels que les programmes malveillants et les tentatives d’accès non autorisé.
    • Effectuez un mappage par glisser-déposer des valeurs de champs d’événements de corrélation vers les champs d’incident ArcSight ESM de sécurité associés SIR .
    • Aperçu de la mise en page de l’incident SIR de sécurité en fonction d’un échantillon d’événements de corrélation pour valider les détails du mappage d’événements.
    • Ingérer des événements de corrélation historiques ainsi que de nouveaux événements notables sur des intervalles configurables.
    • Filtrer les événements de corrélation qui ne répondent pas aux SIR critères de génération d’incidents, par exemple les événements de priorité faible
    • Regroupez les événements aux incidents de sécurité existants SIR en fonction des valeurs de champ correspondantes pour éviter les incidents de sécurité en double.
    • Mettez à jour les événements de corrélation en fonction SIR des conditions de création et/ou de fermeture d’incident via une interface bidirectionnelle.

    Versions prises en charge Now Platform

    Cette intégration prend en charge les versions New York Patch 6 et Orlando Now Platform.

    Les applications Security Operations suivantes doivent être installées et activées à partir de .ServiceNow Store Installez, puis activez une application à la fois dans l’ordre indiqué ci-dessous pour assurer une installation fluide :

    1. Cadre de travail d’intégration de sécurité
    2. Security Support Common
    3. Réponse aux incidents de sécurité
    4. Ingestion d’événements et d’alertes pour Security Operations
    5. Modules d’extension du concentrateur d’intégration
      1. Exécution du concentrateur d’intégration ServiceNow
      2. Étape d’action du concentrateur d’intégration ServiceNow : REST

    Pour plus d’informations sur l’installation Opérations de sécurité des applications principales, reportez-vous aux sections Obtenir une autorisation pour un produit ou une Opérations de sécurité application et Activer une ServiceNow Store application.

    ArcSight ESM Versions prises en charge

    Cette intégration a été testée avec la ArcSight ESM version 7.0.0.2436 du gestionnaire. L’intégration prend en charge les environnements de services sur site et dans le ArcSight ESM cloud/hébergés.

    Serveur MID

    Cette intégration nécessite l’installation et la configuration d’un ArcSight ESM serveur MID dans votre Now Platform® instance pour se connecter au service lorsque le ArcSight ESM serveur est déployé au sein de votre réseau d’entreprise. Si vous utilisez le service dans le cloud, un serveur MID n’est ArcSight ESM pas nécessaire. Consultez le site Web de la documentation produit ServiceNow pour plus d’informations sur les serveurs MID.

    Références

    Référence Identificateur de document Titre de document
    1 ArcSight ESM Documentation du produit Documentation sur le produit ArcSight.
    2 ServiceNow Site web de la documentation produit Site web de la documentation produit ServiceNow