Richten Sie Ihr ein ServiceNow AI Platform Instanz für ArcSight ESM Integration der Ereigniserfassung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Im folgenden Abschnitt werden die Setup-Aufgaben aufgeführt, die Sie in ausführen müssen ServiceNow AI Platform® Instanz vor der Installation der Anwendung über ServiceNow Store.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Überprüfen Sie anhand der folgenden Tabelle, ob Sie alle aufgeführten Aufgaben abgeschlossen haben, bevor Sie die Anwendung herunterladen und installieren, um eine reibungslose Installation und Konfiguration zu gewährleisten.

    Setupaufgabe Beschreibung
    Überprüfen Sie, ob Sie die erforderliche zugewiesen haben ServiceNow AI Platform® Und Security Incident Response-Rollen (SIR).

    Die folgenden Rollen sind für die Installation, das Setup und die Verwendung der Integration in erforderlich ServiceNow AI Platform® Instanz.

    • Ein Anwender mit ServiceNow AI Platform® Die Administratorrolle (admin) installiert die Anwendung aus dem ServiceNow Store Und weist die Rolle Security Incident-Administrator (sn_si.admin) zu.
    • Ein Anwender mit der Rolle „sn_si.admin“ überwacht die folgenden Aufgaben in ServiceNow AI Platform®:
      • Benennt, erstellt und bearbeitet Ereignisprofile.
      • Wählt Werte aus und ordnet sie zu ArcSight ESM Korrelation von Ereignissen zu Security Incidents.
      • Zeigt vor dem Abschluss der Konfiguration eine Vorschau der Security Incident-Details auf Richtigkeit an.
      • Plant die laufende Erfassung korrelierter Ereignisse.
      • Aktiviert Aktualisierungen korrelierter Ereignisse, wenn ein SIR-Incident erstellt und geschlossen wird.
      • Weist die Rolle Security Incident Analyst (sn_si.Analyst) zu.
      • Anwender mit sn_si.Analyst arbeiten mit Security Incidents.

    Weitere Informationen zu Rollen und dem Zuweisen von Rollen an Anwender finden Sie unter Rollen im ServiceNow-Produktdokumentationswebsite .
    Stellen Sie sicher, dass Sie Version 7.0.0.2436 oder höher von verwenden ArcSight ESM Manager. Frühere Versionen werden nicht unterstützt. Wenn Sie Zugriff auf haben ArcSight ESM Abfrage-Viewer haben Sie Zugriff auf die API, die für diese Integration erforderlich ist. Für die API ist kein anderes spezielles Setup erforderlich.
    Richten Sie den Abfrage-Viewer in ein ArcSight ESM. Bevor Sie Korrelationsereignisse erfassen können, müssen Sie den Abfrageanzeige in konfigurieren ArcSight ESM Konsole. Details siehe Richten Sie ein ArcSight ESM Abfrage-Viewer.
    Optional

    Erstellen Sie anwenderdefinierte Phasen in ArcSight ESM Für Aktualisierungen von Korrelationsereignissen.

    		 Ein Korrelationsereignis durchläuft viele Phasen in seinem Lebenszyklus, bevor es geschlossen wird. ArcSight ESM Stellt Standardphasen wie „anfänglich“, „Überwachung“, „in Warteschlange“ und „Geschlossen“ bereit. Einige dieser Phasen erfordern Anwendereingaben, andere Phasen werden jedoch automatisch ohne Anwendereingriff auf das Ereignis angewendet (die Anwender Erforderlich Das Feld ist in deaktiviert ArcSight ESM Konsole.

    Sie können anwenderdefinierte Phasen erstellen, die keine Anwendereingriffe erfordern, und sie in verwenden ServiceNow AI Platform® Instanz. Details siehe Zusätzliche Optionen: Korrelierte Ereignisaktualisierungen und -Abschlüsse basierend auf automatisieren SIR Incident-Status.
    Überprüfen Sie, ob Sie eine MID-Serveranwendung installiert und konfiguriert haben. Konfigurierte MID-Server-Anwendung

    Ein MID-Server in Ihrem ServiceNow AI Platform® Instanz ist erforderlich, um eine Verbindung mit herzustellen ArcSight ESM Service, wenn ArcSight ESM Server wird in Ihrem Unternehmensnetzwerk bereitgestellt. Siehe Installieren und konfigurieren Sie die ServiceNow-Anwendung für ArcSight ESM Integration der Ereigniserfassung Anweisungen zum Konfigurieren einer MID-Server-Anwendung.

    Siehe MID-Server Für Informationen zu MID-Servern.

    Wenn Sie einen gehosteten Service oder einen Cloud-Service verwenden, der über das Internet zugänglich ist, ist kein MID-Server erforderlich.
    Überprüfen Sie, ob ServiceNow Kernanwendungen, die zur Unterstützung der Integration erforderlich sind, werden installiert und aktiviert, bevor Sie die Anwendung für die Integration installieren.

    Überprüfen Sie Folgendes Security Operations Anwendungen werden über installiert und aktiviert ServiceNow Store. Wenn nicht installiert, installieren und aktivieren Sie jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation sicherzustellen.

    1. Security Incident Response
    2. Sicherheits-Integrations-Framework
    3. Security Support Common
    4. Ereignis- und Warnungserfassung für Security Operations: Diese Anwendung erfordert:
      • com.glide.hub.integration.runtime => ServiceNow IntegrationHub-Laufzeit
      • Com.Glide.Hub.action_STEP.Rest => ServiceNow IntegrationHub Aktionsschritt – REST
    5. Threat Core

    Weitere Informationen zur Installation von finden Sie Security Operations Kernanwendungen, siehe Berechtigung für abrufen Security Operations Produkt oder Anwendung Und Aktivieren Sie einen ServiceNow Store Anwendung.

    Nächste Maßnahme

    Sie haben erfolgreich eingerichtet ServiceNow AI Platform® Instanz für die Integration. Der nächste Schritt besteht in der Installation von ArcSight ESM Erfassung von Sicherheitsereignissen für die Anwendung Security Operations aus dem ServiceNow Store Für die Integration.