Flow Designer-Nutzung mit ArcSight ESM Integration der Ereigniserfassung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Mit Integration Hub und Flow Designer sind mehrere Flows, Subflows und Aktionen mit verfügbar ArcSight ESM Integration.

    Um diese Subflows anzuzeigen, navigieren Sie zu Flow Designer > Designer Und klicken Sie auf Subflows Registerkarte. Die folgende Abbildung zeigt die wichtigen Subflows, die während der Profilerstellung und der geplanten Erfassungsaufgabe verwendet werden.
    ArcSight ESM: Flows
    Diese Subflows werden in der Reihenfolge aufgeführt, in der sie unten ausgeführt werden:
    • Validierung von Verbindungen und Anmeldeinformationen : Dieser Subflow validiert ServiceNow Konnektivität mit ArcSight ESM Server und die angegebenen Anmeldeinformationen. Dieser Subflow wird verwendet, wenn Sie auf klicken Konfigurieren Schaltfläche in ArcSight ESM: Ereigniserfassung Kachel in Security Operations > Integrationen > Integrationskonfiguration Seite.
    • ArcSight – Authentifizierungstoken abrufen : Dieser Subflow generiert ArcSight ESM Authentifizierungstoken aus Anwendername und Passwort mit ArcSight ESM Anmeldeservice. Der Anmeldeservice stellt das Authentifizierungstoken bereit, mit dem andere aufgerufen werden können ArcSight ESM Endpunkt. Dieser Subflow wird in allen anderen Subflows verwendet.
    • Validierung der Abfrage-Viewer-ID : Dieser Subflow überprüft, ob die bei der Profilerstellung angegebene Abfrage-Viewer-ID in vorhanden ist ArcSight ESM Server.
    • Korrelationsregelabruf : Dieser Subflow ruft die Korrelationsregeln basierend auf der Abfrage-Viewer-ID ab.
    • Beispielereignis Abrufen : Dieser Subflow ruft die Beispielkorrelationsereignisse aus dem ab ArcSight ESM Server. Diese Beispielereignisse werden dann den Security Incident-Feldern im Abschnitt „Zuordnung“ des Profils zugeordnet.
    • Validierung der Phasenressourcen-ID : Dieser Subflow validiert die angegebene Phasenressourcen-ID in ArcSight ESM Konsole und ruft den Ressourcennamen ab.
    • Aktualisieren Sie Korrelierte Ereigniskommentare : Dieser Subflow aktualisiert die korrelierten Ereigniskommentare in den Abschnitten „Initial“ und „Abschluss von Incidents“ auf der Seite „zusätzliche Optionen“ des Profils.
    • Ruft korrelierte Ereignisse basierend auf dem Abrufzeitplan ab : Dieser Subflow führt die geplante Aufgabe aus, die die korrelierten Ereignisse basierend auf dem Abfrageintervall abruft.
    Während der Ausführung lösen die obigen Subflows auch mehrere andere Subflows und Aktionen aus, entweder direkt oder indirekt, wie unten gezeigt.
    ArcSight ESM: Zusätzliche Subflows