Beginnen Sie mit dem Elasticsearch– Integration der Incident-Anreicherung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Elasticsearch Ist eine verteilte, RESTful-Such- und Analytics-Engine, die einfach in integriert werden kann Security Operations. Bevor Sie verwenden können Elasticsearch– Integration der Incident-Anreicherung. Sie müssen sie aus dem herunterladen ServiceNow Store Und fügen Sie die entsprechende API-Basis-URL und Anmeldeinformationen hinzu.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Laden Sie die Integration aus dem herunter ServiceNow Storean.
    2. Wenn die Installation abgeschlossen ist, greifen Sie auf zu Elasticsearch Und rufen Sie die API-Basis-URL unter Ihrem Elasticsearch-Profil ab.
    3. Navigieren Sie in Ihrer Instanz zu Security Operations > Integrationen > Integrationskonfigurationenan.
      Die verfügbaren Sicherheitsintegrationen werden als Reihe von Karten angezeigt.
    4. In Elasticsearch– Incident-Anreicherungskarte, klicken Sie auf Neu .
      Elastische Konfiguration
    5. Füllen Sie die Felder nach Bedarf aus.
      Feld Beschreibung
      Name Der Name dieser Konfiguration.
      Basis-URL der Elasticsearch-API Die Basis-URL, die Sie von erworben haben Elasticsearch Website.
      Link-URL [Optional] Links zu einer Kibana-Instanz, falls verfügbar
      Anwendername Ihre Informationen Elasticsearch Anwendername.
      Passwort Ihre Informationen Elasticsearch Passwort.
      Max. Zeilen Die maximale Anzahl von Zeilen, die Sie durchsuchen möchten.
      Erstes Ergebnis (Tage) Die frühesten Ergebnisse, die Sie in Tagen anzeigen möchten.
      Rohdatenmuster in Suchergebnissen berücksichtigen Wählen Sie diese Option aus, um Beispiele von Rohdaten in Ihre Sichtungssuchergebnisse aufzunehmen. Die Menge der zurückgegebenen Daten hängt von Ihrer Einstellung in ab Anzahl der Zeilen mit Rohdaten Eigenschaft in Eigenschaften von Security Incident Response .
      MID-Server Wählen Sie Aus Beliebig Um einen aktiven MID-Server zu verwenden, oder wählen Sie einen bestimmten MID-Server-Namen aus.
      Hinweis:
      Durch die Konfiguration dieser Integration werden Workflows aktiviert. Navigieren Sie zum Verwalten der Workflows zu Workflow-Editor .
    6. Klicken Sie auf Absenden.
      Die Integrationskonfigurationskarte wird angezeigt.
    7. Wenn Sie die neue Konfigurationskarte anzeigen, können Sie auf klicken Konfigurieren Oder Löschen Zum Ändern oder Löschen der Konfiguration.
    8. Um zur ursprünglichen Liste der Integrationskonfigurationskarten zurückzukehren, wählen Sie aus Nein Von Konfigurationen Anzeigen Dropdown-Liste.

    Ergebnisse

    Nachdem konfiguriert wurde, wird Elasticsearch– Die Incident-Anreicherungsintegration kann ausgewählt werden, um erkennbare Elemente in Beobachtungslisten in Security Incident Response zu veröffentlichen.