ArcSight ESM Integration der Ereigniserfassung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Die ArcSight ESM Integration der Ereigniserfassung mit Security Incident Response Mit dem Produkt können Security Incident-Analysten korrelierte Ereignisse erfassen und die Erstellung von Security Incidents mit automatisieren ServiceNow Plattform. Daten werden kontinuierlich basierend auf einem konfigurierten Abfragungsplan erfasst und von Analysten verwendet, um potenzielle Cybersicherheitsbedrohungen zu identifizieren und darauf zu reagieren.

    Mit dieser Integration können korrelierte Ereignisse, die Kandidaten für Security Incidents sind, regelmäßig erfasst werden. Sie können Felder in korrelierten Ereignissen Security Incident-Feldern zuordnen, eine Vorschau des Setups eines Ereignisses als Security Incident anzeigen und die geplante Erfassung von Ereignissen einrichten, um Security Incidents automatisch fortlaufend zu erstellen.

    Übersicht über ArcSight ESM Integration der Ereigniserfassung

    Diese Integration bietet einem Analysten des Security Operations Center (SOC) Transparenz für Korrelationsereignisse in ArcSight ESM. Diese Daten können in integriert werden ServiceNow AI Platform Security Incident Response (SIR) für weitere Untersuchungen und Nachbesserungen. Profile werden in erstellt ServiceNow AI Platform Instanz zur Verarbeitung verschiedener Korrelationsereignistypen, die über Korrelationsabfragebetrachter in erstellt und verfügbar gemacht werden ArcSight ESM. Diese Profile passen den Unterschied an ArcSight ESM Korrelierte Ereignisfelder werden in SIR Security Incidents angezeigt.

    Schlüsselfunktionen

    Diese Integration umfasst die folgenden wichtigen Funktionen:
    • Erstellen Sie mehrere zu erstellende Ereigniserfassungsprofile SIR Security Incidents für bestimmte Arten von Bedrohungen wie Malware und nicht autorisierte Zugriffsversuche.
    • Drag-and-Drop-Zuordnung von ArcSight ESM Korrelationsereignisfeldwerte zu zugeordnet SIR Security Incident-Felder.
    • Eine Vorschau von SIR Security Incident-Layout basierend auf Beispielkorrelationsereignissen zur Validierung der Ereigniszuordnungsdetails.
    • Erfassen Sie historische Korrelationsereignisse sowie neue wichtige Ereignisse in konfigurierbaren Intervallen.
    • Filtern Sie Korrelationsereignisse heraus, die nicht erfüllen SIR Kriterien für die Incident-Generierung, z. B. Ereignisse mit niedriger Priorität
    • Ereignisse in vorhandenen aggregieren SIR Security Incidents basierend auf übereinstimmenden Feldwerten, um doppelte Security Incidents zu vermeiden.
    • Aktualisieren Sie Korrelationsereignisse basierend auf SIR Bedingungen für die Erstellung und/oder den Abschluss von Incidents über eine bidirektionale Schnittstelle.

    Unterstützt ServiceNow AI Platform Versionen

    Diese Integration unterstützt New York Patch 6 und Orlando ServiceNow AI Platform Releases.

    Die folgenden Security Operations-Anwendungen müssen über installiert und aktiviert werden ServiceNow Store. Installieren und aktivieren Sie jeweils eine Anwendung in der unten aufgeführten Reihenfolge, um eine reibungslose Installation sicherzustellen:

    1. Sicherheits-Integrations-Framework
    2. Security Support Common
    3. Security Incident Response
    4. Ereignis- und Warnungserfassung für Security Operations
    5. Integrations-Hub-Plugins
      1. ServiceNow Integration Hub-Laufzeit
      2. ServiceNow Integration Hub-Aktionsschritt – REST

    Weitere Informationen zur Installation von finden Sie Security Operations Kernanwendungen, siehe Berechtigung für abrufen Security Operations Produkt oder Anwendung Und Aktivieren Sie einen ServiceNow Store Anwendung.

    ArcSight ESM Unterstützte Versionen

    Diese Integration wurde mit Version 7.0.0.2436 von getestet ArcSight ESM Manager. Die Integration unterstützt beides ArcSight ESM Lokale und Cloud-/gehostete Serviceumgebungen.

    MID-Server

    Diese Integration erfordert einen installierten und konfigurierten MID-Server in Ihrem ServiceNow AI Platform® Instanz, die mit verbunden werden soll ArcSight ESM Service, wenn ArcSight ESM Server wird in Ihrem Unternehmensnetzwerk bereitgestellt. Wenn Sie verwenden ArcSight ESM Cloud-Service, ein MID-Server ist nicht erforderlich. Siehe ServiceNow-Produktdokumentationswebsite Weitere Informationen zu MID-Servern.

    Referenzen

    Referenz Dokumentbezeichner Dokumententitel
    1 ArcSight ESM Produktdokumentation ArcSight-Produktdokumentation .
    2 ServiceNow Produktdokumentations-Website ServiceNow-Produktdokumentationswebsite