Commencez avec l’intégration de l’enrichissement Elasticsearch des incidents

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Elasticsearch est un moteur de recherche et d’analyse distribué et RESTful qui s’intègre facilement à Opérations de sécurité. Avant de pouvoir utiliser l’intégration Elasticsearch d’enrichissement d’incident, vous devez la télécharger à ServiceNow Store partir du et ajouter l’URL de base API et les informations d’identification de connexion appropriées.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Téléchargez l’intégration à partir de ServiceNow Store.
    2. Une fois l’installation terminée, accédez à Elasticsearch l’URL de base de l’API sous votre profil Elasticsearch et obtenez-la.
    3. Dans votre instance, accédez à Security Operations > Intégrations > Configurations d'intégration.
      Les intégrations de sécurité disponibles apparaissent sous la forme d’une série de cartes.
    4. Sur la carte Enrichissement d’incident Elasticsearch , cliquez sur Nouveau.
      Configuration élastique
    5. Renseignez les champs nécessaires.
      Champ Description
      Nom Nom de cette configuration.
      URL de base de l'API Elasticsearch L’URL de base que vous avez acquise à partir du Elasticsearch site.
      URL de lien [Facultatif] Liens vers une instance Kibana, lorsqu’ils sont disponibles
      Nom d'utilisateur Votre nom d’utilisateur Intel Elasticsearch .
      Mot de passe Votre mot de passe Intel Elasticsearch .
      Lignes max. Le nombre maximal de lignes que vous souhaitez rechercher.
      Tout premier résultat (jours) Les résultats les plus récents que vous souhaitez voir, en nombre de jours.
      Inclure les exemples de données brutes dans les résultats de recherche Sélectionnez cette option pour inclure des exemples de données brutes dans vos résultats de recherche d’observations. La quantité de données renvoyées dépend du paramètre que vous définissez sur le nombre de lignes de la propriété de données brutes dans les propriétés de Réponse aux incidents de sécurité.
      Serveur MID Sélectionnez N’importe lequel pour utiliser n’importe quel Serveur MID actif ou sélectionnez un nom de Serveur MID spécifique.
      Remarque :
      La configuration de cette intégration active les workflows. Pour gérer les workflows, accédez à l’éditeur de workflow.
    6. Cliquez sur Envoyer.
      La carte de configuration de l’intégration s’affiche.
    7. Lors de l’affichage de la nouvelle carte de configuration, vous pouvez cliquer sur Configurer ou Supprimer pour modifier ou supprimer la configuration, respectivement.
    8. Pour revenir à la liste initiale des cartes de configuration d’intégration, sélectionnez Non dans la liste déroulante Afficher les configurations .

    Résultats

    Une fois configurée, l’intégration Elasticsearch d’enrichissement d’incident peut être sélectionnée pour publier des observables dans des listes de surveillance dans Réponse aux incidents de sécurité.