Konfigurieren und aktivieren Elasticsearch Integration

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 2 Minuten Lesedauer

    • Elasticsearch Ist eine verteilte, RESTful Such- und Analytics-Engine, die leicht in integriert werden kann Security Operations.

    Vorbereitungen

    Bevor Sie verwenden können Elasticsearch, Sie müssen es aus dem ServiceNow Store herunterladen.

    Erforderliche Rolle: sn_sec_tisc.admin

    Wichtig:
    • Die Threat Intelligence-Sicherheitszentrum Das Plugin muss installiert und aktiviert werden, bevor Sie verwenden können Elasticsearch Integration.
    • Rufen Sie ab Elasticsearch API-Basis-URL, Kibana-Basis-URL, Anwendername und Passwort unter Ihrem Elasticsearch Profil.

    Prozedur

    1. Greifen Sie mithilfe Ihrer Instanz auf zu Threat Intelligence-Sicherheitszentrum .
    2. Laden Sie die Integration aus dem herunter ServiceNow Storean.
    3. Wenn die Installation abgeschlossen ist, navigieren Sie zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
    4. Auswählen Integrationen > Ergänzungsintegrationen > Alle Integrationenan.
    5. Alternativ können Sie zu navigieren Integrationen > Ergänzungsintegrationen > Alle Integrationen > Sichtungssuche
      Hinweis:
      Die konfigurierten Integrationen werden als Reihe von Karten angezeigt.
    6. In Elasticsearch Karte, wählen Sie aus Konfigurieren Sie Eine Neue Anreicherung Zum Konfigurieren Elasticsearch Integration.
    7. Füllen Sie die Felder im Formular „neue Anreicherung konfigurieren“ aus.
      Tabelle : 1. Ergänzungsintegration
      Feld Beschreibung
      Name Geben Sie einen Namen für die Konfiguration der Sichtungssuche ein.
      Lieferantenname Name des Lieferanten. Die Details des ausgewählten Lieferanten werden standardmäßig ausgefüllt. Beispiel: Elasticsearch.
      Integrationstyp Typ der von Ihnen ausgewählten Integration. Beispiel: Bedrohungssuche.
      Beschreibung Geben Sie die Beschreibung für ein Elasticsearch Integration. Beispielsweise hilft die Elasticsearch-Ergänzungsintegration bei der Untersuchung eines erkennbaren Elements, indem sie die Abfrage von Protokollen in Ihrer Elasticsearch-Bereitstellung unterstützt.
      Integrationskonfiguration
      Elasticsearch API-Basis-URL Die Basis-URL, die Sie von erworben haben Elasticsearch Website.
      Kibana-Basis-URL Die Kibana-Basis-URL. [Optional] Links zu einer Kibana-Instanz, falls verfügbar.
      Anwendername Ihre Informationen Elasticsearch Anwendername.
      Passwort Ihre Informationen Elasticsearch Passwort.
      Elasticsearch Index Die Elasticsearch Index. Diese wiederum enthalten Dokumente, die für jeden Index eindeutig sind. Indizes werden durch Kleinbuchstaben identifiziert, die sich auf Aktionen beziehen, bei denen es sich um ausgeführte Aktionen handelt (z. B. Suchen und Löschen).
      Feld „Datumsbereich“ Der Zeitstempel der Konfiguration.
      Max. Zeilen Die maximale Anzahl von Zeilen, die Sie durchsuchen möchten.
      Erstes Ergebnis (Tage) Die frühesten Ergebnisse, die Sie in Tagen anzeigen möchten.
      Rohdatenmuster in Suchergebnissen berücksichtigen Wählen Sie diese Option aus, um Beispiele von Rohdaten in Ihre Sichtungssuchergebnisse einzubeziehen. Die Menge der zurückgegebenen Daten hängt von Ihrer Einstellung für die Anzahl der Zeilen der Rohdateneigenschaft in ab Eigenschaften der Reaktion auf Security Incidents .
      MID-Server Wählen Sie beliebig aus, um einen aktiven MID-Server zu verwenden, oder wählen Sie einen bestimmten MID-Servernamen aus.
      Hinweis:
      Durch die Konfiguration dieser Integration werden Workflows aktiviert. Navigieren Sie zum Verwalten der Workflows zum Workflow-Editor.
    8. Wählen Sie Speichern.
      Die Integrationsdetails werden validiert, und standardmäßig die Elasticsearch Der Status der Integration ist deaktiviert.
    9. Wählen Sie Aus Aktivieren Zum Aktivieren von Elasticsearch Integration.

    Ergebnisse

    Nach der Konfiguration Elasticsearch Kann ausgewählt werden, um eine Sichtungssuche für erkennbare Elemente in durchzuführen Threat Intelligence-Sicherheitszentrum.