Installieren und konfigurieren Sie die ServiceNow-Anwendung für ArcSight ESMIntegration der Ereigniserfassung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Bevor Sie die Integration auf ausführen Now Platform®Führen Sie diese Installations- und Konfigurationsschritte aus, damit die Anwendung ordnungsgemäß in integriert wird Security Incident ResponseUnd Security OperationsProdukte auf Ihrem Now PlatformInstanz.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wenn Sie nicht installiert haben ArcSight ESMAnwendung von ServiceNow StoreInformationen zur Integration finden Sie unter Installieren Sie ein Security OperationsIntegrationUnd befolgen Sie die Schritte, um es zu installieren.
    2. Nachdem Sie die Anwendung erfolgreich installiert haben, navigieren Sie zu Integrationen > Integrationskonfigurationen Und suchen Sie ArcSight ESMKachel.
    3. Klicken Sie auf, um die Anwendung zu konfigurieren Neu .
    4. Alternativ, wenn ein Konfigurieren Die Schaltfläche wird auf einer Kachel angezeigt. Klicken Sie darauf, um eine vorhandene Konfiguration zu bearbeiten.
    5. Füllen Sie im Formular die Felder aus.
      FeldBeschreibung
      Name Eindeutiger Name für ArcSight ESMManager, der in der Integrationsprofilkonfiguration verwendet wird, um mehrere zu unterscheiden ArcSight ESMManagerquellen, falls erforderlich.

      Leerzeichen werden für Namen unterstützt, Klammern werden jedoch nicht unterstützt.
      URL für ArcSight API-Endpunkt URL für Ihren ArcSight ESMManagerserver. Beachten Sie, dass die URL den API-Port enthalten sollte, z. B.: https://arcsight-esm.com:8443
      API-Account-Anwendername Anwendername, den Sie für Ihren API-Anwenderaccount in erstellt haben ArcSight ESMManagerkonsole.
      API-Passwort Passwort, das Sie für Ihren API-Anwenderaccount in erstellt haben ArcSight ESMManagerkonsole.
      Lokale Bereitstellung Standard ist deaktiviert.

      Wenn Sie die cloudbasierte Version von verwenden ArcSight ESMDas direkten Internetzugang hat, stellen Sie sicher, dass das Kontrollkästchen deaktiviert ist.

      Aktivieren Sie für eine lokale Bereitstellung dieses Kontrollkästchen, und geben Sie die MID-Serveranwendung an.
      MID-Server-Anwendung Geben Sie hier einen Namen FÜR DIE MID-Serveranwendung an. Diese MID-Serveranwendung kann auf jeden der konfigurierten MID-Server verweisen, und jeder verfügbare MID-Server wird verwendet.

      Wenn Sie keine MID-Serveranwendung konfiguriert haben, müssen Sie eine neue MID-Serveranwendung für diese Integration erstellen.

      Hinweis:
      Die MID-Serveranwendung kann nur von Anwendern mit der Systemadministratorrolle konfiguriert werden.
      Führen Sie die folgenden Schritte aus, um eine neue MID-Serveranwendung zu erstellen:
      1. Navigieren zu MID-Server > Anwendungen Und klicken Sie auf Neu .
      2. Geben Sie einen Namen für die MID-Serveranwendung ein, und wählen Sie einen MID-Server aus, der als Standard verwendet werden soll.
      3. Deaktivieren Sie das Kontrollkästchen in Anwendung ALLE eingeschlossen, und klicken Sie auf Speichern .
        ArcSight ESM: MID-Anwendung erstellen
      4. Klicken Sie auf Bearbeiten. In Bearbeiten Sie Mitglieder Wählen Sie alle verfügbaren MID-Server aus, verschieben Sie sie in die MID-Serverliste, und klicken Sie auf Speichern .
      5. Die ausgewählten MID-Server werden wie unten gezeigt aufgelistet.
        ArcSight ESM: MID-Anwendung erstellen: MID
      Je nach Verfügbarkeit wird einer der mit der MID-Serveranwendung konfigurierten MID-Server verwendet.
    6. Geben Sie die Konfigurationsdetails ein, und geben Sie die von Ihnen erstellte MID-Serveranwendung an.
      ArcSight ESM: Konfiguration
      Jedes Korrelationsereignis, das Sie von erfassen ArcSight ESMManagerkonsole erfordert ein eindeutiges Ereignisprofil in Ihrer Instanz. Jedoch ArcSight ESMDie Quelle, die Sie im Formular „Konfiguration der Ereigniserfassung“ konfigurieren, kann für mehrere Profile wiederverwendet werden, solange jedes Profil eindeutige Korrelationsereignistypen erfasst.
    7. Klicken Sie auf Absenden.
      Nachdem sie erfolgreich validiert und übermittelt wurde, jeweils ArcSight ESMDie Serverkonfiguration wird auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln auf der Seite „Sicherheitsintegrationen“ nicht angezeigt werden, klicken Sie oben rechts auf der Seite in der Auswahlliste „Konfigurationen anzeigen“ auf Ja .

    Nächste Maßnahme

    Sie haben die Anwendung erfolgreich installiert und konfiguriert. Der nächste Schritt besteht darin, ein Ereignisprofil zu erstellen.