Uso do Flow Designer com ArcSight ESMintegração de ingestão de evento

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Usando o Hub de integração e o Designer de fluxo, vários fluxos, subfluxos e ações estão disponíveis com o. ArcSight ESMintegração.

    Para exibir esses subfluxos, navegue até Flow Designer > Designer e clique em Subfluxos . A figura abaixo mostra os subfluxos importantes usados durante a criação do perfil e o trabalho de ingestão agendado.
    ArcSight ESM: Fluxos
    Estes subfluxos estão listados na sequência em que são executados abaixo:
    • Conexão e validação de credenciais : Este subfluxo é validado ServiceNowconectividade com ArcSight ESMe as credenciais especificadas. Este subfluxo é usado quando você clica em Configurar no ArcSight ESM - Ingestão de evento lado a lado no Operações de segurança > Integrações > Configuração de integrações página.
    • ArcSight Obter token de autenticação : Este subfluxo gera o. ArcSight ESMToken de autenticação do Nome de usuário e Senha usando ArcSight ESMServiço de login. O serviço de login fornece o token de autenticação que pode ser usado para chamar qualquer outro ArcSight ESMendpoint. Este subfluxo é usado em todos os outros subfluxos.
    • Validação do ID do visualizador de consulta : Este subfluxo verifica se o ID do visualizador de consulta especificado durante a criação do perfil está presente no ArcSight ESMservidor.
    • Recuperação de regra de correlação : Este subfluxo recupera as regras de correlação com base no ID do visualizador de consulta.
    • Obter evento de amostra : Este subfluxo busca os eventos de correlação de amostra do ArcSight ESMservidor. Esses eventos de amostra são mapeados para os campos de incidente de segurança na seção Mapeamento do perfil.
    • Validação do ID do recurso da fase : Este subfluxo valida o ID do recurso de fase especificado no ArcSight ESME busca o nome do recurso.
    • Atualizar comentários de evento correlacionado : Este subfluxo atualiza os comentários do evento correlacionado nas seções Inicial e Encerramento do incidente na página Opções adicionais do perfil.
    • Recupere eventos correlacionados com base na programação de pesquisa : Este subfluxo executa o trabalho agendado que busca os eventos correlacionados com base no intervalo de pesquisa.
    Durante a execução, os subfluxos acima também acionam vários outros subfluxos e ações direta ou indiretamente, como mostrado abaixo.
    ArcSight ESM: Subfluxos adicionais