Configure sua instância Now Platform para a integração de ingestão de eventos ArcSight ESM

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • A seção a seguir lista as tarefas de configuração que você deve concluir em sua instância Now Platform® antes de instalar a aplicação do ServiceNow Store.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Consulte a tabela a seguir e verifique se você concluiu todas as tarefas listadas antes de baixar e instalar a aplicação para garantir uma instalação e configuração sem problemas.

    Configuração de tarefa Descrição
    Verifique se você atribuiu as funções Now Platform® e Security Incident Response (SIR) necessárias.

    As funções a seguir são necessárias para a instalação, configuração e uso da integração na sua instância Now Platform®.

    • Um usuário com a função de administrador Now Platform® (admin) instala a aplicação a partir do ServiceNow Store e atribui a função de administrador de incidente de segurança (sn_si.admin).
    • Um usuário com a função sn_si.admin supervisiona as seguintes tarefas no Now Platform®:
      • Nomeia, cria e edita perfis de evento.
      • Seleciona e mapeia valores de ArcSight ESM eventos de correlação para incidentes de segurança.
      • Visualiza os detalhes do incidente de segurança para precisão antes de finalizar a configuração.
      • Programa a ingestão de eventos correlacionados em andamento.
      • Habilita atualizações de eventos correlacionados quando um incidente de SIR é criado e encerrado.
      • Atribui a função de analista de incidente de segurança (sn_si.analyst).
      • Usuários com o sn_si.analyst trabalham com incidentes de segurança.

    Para obter mais informações sobre funções e atribuição de funções a usuários, consulte Funções no site de documentação do produto da ServiceNow.
    Verifique se você está usando a versão 7.0.0.2436 ou posterior do ArcSight ESM Manager. Versões anteriores não são compatíveis. Se você tiver acesso ao ArcSight ESM Visualizador de consulta, terá acesso à API necessária para esta integração. Não há nenhuma outra configuração especial necessária para a API.
    Configure o Visualizador de consulta em ArcSight ESM. Antes de ingerir eventos de correlação, você deve configurar o Visualizador de consulta no console ArcSight ESM. Consulte Configurar o Visualizador de consulta ArcSight ESM para mais detalhes.
    Opcional

    Crie fases personalizadas em ArcSight ESM para atualizações de evento de correlação.

    		 Um evento de correlação passa por várias fases em seu ciclo de vida antes de ser encerrado. ArcSight ESM fornece fases padrão como Inicial, Monitoramento, Em fila e Encerrado. Algumas dessas fases exigem entradas do usuário, mas outras fases são aplicadas automaticamente ao evento sem qualquer intervenção do usuário (o campo Usuário obrigatório está desmarcado no console ArcSight ESM.

    Você pode criar fases personalizadas que não exijam nenhuma intervenção do usuário e usá-las na sua instância Now Platform®. Consulte Opções adicionais: automatizar atualizações de eventos correlacionados e fechamento com base no SIR status do incidente para mais detalhes.
    Verifique se você instalou e configurou uma aplicação do MID Server. Aplicação do MID Server configurada

    Um MID Server em sua instância Now Platform® é necessário para se conectar ao serviço ArcSight ESM se o servidor ArcSight ESM for implantado em sua rede corporativa. Consulte Instalar e configurar a aplicação ServiceNow para a integração de ingestão de eventos ArcSight ESM para obter instruções sobre como configurar uma aplicação do MID Server.

    Consulte o MID Server para obter informações sobre MID Servers.

    Se você estiver usando um serviço hospedado ou em nuvem, que seja acessível pela Internet, um MID Server não será necessário.
    Verifique se as ServiceNow aplicações principais necessárias para oferecer suporte à integração estão instaladas e ativadas antes de instalar a aplicação para a integração.

    Verifique se as seguintes Security Operations aplicações estão instaladas e ativadas a partir de ServiceNow Store. Se não estiverem instalados, instale e ative um aplicativo de cada vez na ordem a seguir para garantir uma instalação sem problemas.

    1. Security Incident Response
    2. Security Integration Framework
    3. Security Support Common
    4. Ingestão de eventos e alertas para Security Operations: esta aplicação requer:
      • com.glide.hub.integration.runtime => ServiceNow IntegrationHub Runtime
      • com.glide.hub.action_step.rest => Etapa de ação do ServiceNow IntegrationHub - REST
    5. Threat Core

    Para obter mais informações sobre como instalar as aplicações principais Security Operations, consulte Obter direito para um produto ou aplicação Security Operations e Ativar uma aplicação ServiceNow Store.

    O que Fazer Depois

    Você configurou com sucesso sua instância Now Platform® para a integração. A próxima etapa é instalar a aplicação ArcSight ESM Security Event Ingestion for Security Operations a partir do ServiceNow Store para a integração.