Erste Schritte mit der Integration HPE ArcSight Logger - Incident Enrichment

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • HPE ArcSight Logger streamt Echtzeitdaten, kategorisiert sie in bestimmten Protokollen und lässt sich problemlos in Security Operationsintegrieren. Bevor Sie die Integration HPE ArcSight Logger - Incident Enrichment verwenden können, müssen Sie sie von ServiceNow Store herunterladen und die API-URL sowie Anmeldeinformationen hinzufügen.

    Vorbereitungen

    Erforderliche Rolle: sn_si_admin

    Prozedur

    1. Laden Sie die -Integration aus dem herunter ServiceNow Storean.
    2. Navigieren Sie nach Abschluss der Installation zu Security Operations > Integrationen > Integrationskonfigurationenan.
      Die verfügbaren Sicherheitsintegrationen werden als Reihe von Karten angezeigt.
    3. Klicken Sie auf der Karte HPE ArcSight Logger – Incident-Ergänzung auf Neu.
      Konfiguration der HPE ArcSight-Protokollierung
    4. Füllen Sie die Felder nach Bedarf aus.
      Feld Beschreibung
      Name Der Name dieser Konfiguration.
      Basis-URL der ArcSight Logger-API Die Basis-URL, die Sie von der HPE Security ArcSight Logger-Website erhalten haben.
      Link-URL [Optional] Die Link-URL, die eine Verknüpfung zu einer HPE Security ArcSight Logger-Instanz herstellt, falls verfügbar.
      Anwendername Ihr Intel-Anwendername HPE ArcSight Logger.
      Passwort Ihr Intel-Passwort HPE ArcSight Logger.
      Erstes Ergebnis (Tage) Die frühesten Ergebnisse, die Sie anzeigen möchten, in Tagen.
      Max. Zeilen Die maximale Anzahl von Zeilen, die Sie durchsuchen möchten.
      Alle Peers Standardmäßig ist diese Option deaktiviert und durchsucht nur die lokale Protokollierung, mit der Sie verbunden sind. Wenn diese Option aktiviert ist, werden alle Protokollierungen durchsucht, die miteinander verbunden sind.
      Rohdatenmuster in Suchergebnissen berücksichtigen Wählen Sie diese Option aus, um Beispiele von Rohdaten in die Ergebnisse der Sichtungssuche aufzunehmen. Die Menge der zurückgegebenen Daten hängt von Ihrer Einstellung in der Anzahl der Zeilen der Rohdateneigenschaft in den Security Incident Response-Eigenschaftenab.
      MID-Server Wählen Sie Beliebig aus, um einen beliebigen aktiven MID-Server zu verwenden, oder wählen Sie einen bestimmten MID-Server-Namen aus.
      Hinweis:
      Durch die Konfiguration dieser Integration werden -Workflows aktiviert. Um die Workflows zu verwalten, navigieren Sie zum Workflow-Editor.
    5. Klicken Sie auf Absenden.
      Die Integrationskonfigurationskarte wird angezeigt.
    6. Wenn Sie die neue Konfigurationskarte anzeigen, können Sie auf Konfigurieren oder Löschen klicken, um die Konfiguration zu ändern bzw. zu löschen.
    7. Um zur ursprünglichen Liste der Integrationskonfigurationskarten zurückzukehren, wählen Sie Nein in der Dropdown-Liste Konfigurationen anzeigen aus.