Beginnen Sie mit der Integration von Elasticsearch  – Incident-Ergänzung

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Elasticsearch ist eine verteilte RESTful-Such- und Analyse-Engine, die sich problemlos in Security Operationsintegrieren lässt. Bevor Sie die Integration Elasticsearch  – Incident-Anreicherung verwenden können, müssen Sie sie aus dem ServiceNow Store herunterladen und die entsprechende API-Basis-URL und Anmeldeinformationen hinzufügen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Laden Sie die Integration aus dem herunter ServiceNow Store.
    2. Wenn die Installation abgeschlossen ist, greifen Sie auf Elasticsearch zu, und rufen Sie die API-Basis-URL unter Ihrem Elasticsearch-Profil ab.
    3. Navigieren Sie in Ihrer Instanz zu Security Operations > Integrationen > Integrationskonfigurationen.
      Die verfügbaren Sicherheitsintegrationen werden als eine Reihe von Karten angezeigt.
    4. Klicken Sie in der Karte Elasticsearch  – Incident-Ergänzung auf Neu.
      Elastische Konfiguration
    5. Füllen Sie die Felder nach Bedarf aus.
      Feld Beschreibung
      Name Der Name dieser Konfiguration.
      Basis-URL der Elasticsearch-API Die Basis-URL, die Sie von der Website Elasticsearch erhalten haben.
      Link-URL [Optional] Links zu einer Kibana-Instanz, falls verfügbar
      Benutzername Ihr Intel Elasticsearch -Benutzername.
      Passwort Ihr Intel Elasticsearch -Passwort.
      Max. Zeilen Die maximale Anzahl von Zeilen, die Sie durchsuchen möchten.
      Erstes Ergebnis (Tage) Die frühesten Ergebnisse, die Sie anzeigen möchten, in Tagen.
      Rohdatenmuster in Suchergebnissen berücksichtigen Wählen Sie diese Option aus, um Beispiele von Rohdaten in Ihre Sichtungssuchergebnisse aufzunehmen. Die Menge der zurückgegebenen Daten hängt von Ihrer Einstellung in der Eigenschaft „ Anzahl der Zeilen der Rohdaten“ in Security Incident Response-Eigenschaftenab.
      MID-Server Wählen Sie Beliebig aus, um einen beliebigen aktiven MID Server zu verwenden, oder wählen Sie einen bestimmten MID Server-Namen aus.
      Hinweis:
      Durch die Konfiguration dieser Integration werden Workflows aktiviert. Um die Workflows zu verwalten, navigieren Sie zum Workflow-Editor.
    6. Klicken Sie auf Absenden.
      Die Integrationskonfigurationskarte wird angezeigt.
    7. Wenn Sie die neue Konfigurationskarte anzeigen, können Sie auf Konfigurieren oder Löschen klicken, um die Konfiguration zu ändern oder zu löschen.
    8. Um zur ursprünglichen Liste der Integrationskonfigurationskarten zurückzukehren, wählen Sie in der Dropdown-Liste Konfigurationen anzeigen die Option Nein aus.

    Ergebnisse

    Nach der Konfiguration kann die Integration Elasticsearch - Incident Enrichment für die Veröffentlichung von erkennbaren Elementen in Beobachtungslisten in Security Incident Response ausgewählt werden.