인시던트 보강 통합 시작하기 Elasticsearch

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 1분

    • Elasticsearch 는 와 쉽게 통합 보안 운영되는 분산형 RESTful 검색 및 분석 엔진입니다. 인시던트 보강 통합을 사용하려면 Elasticsearch 먼저 다음 ServiceNow Store 에서 다운로드하고 적절한 API 기준 URL 및 로그인 자격 증명을 추가해야 합니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 에서 통합을 다운로드합니다. ServiceNow Store.
    2. 설치가 완료되면 Elasticsearch 프로파일에서 API 기준 URL에 액세스하고 Elasticsearch 가져옵니다.
    3. 인스턴스에서 다음으로 이동합니다. 보안 운영 > 통합 > 통합 구성.
      사용 가능한 보안 통합은 일련의 카드로 표시됩니다.
    4. - 인시던트 보강 카드에서 Elasticsearch새로 만들기를 클릭합니다.
      탄력적 구성
    5. 필요에 따라, 필드를 채웁니다.
      필드 설명
      이름 이 구성의 이름입니다.
      Elasticsearch API 기준 URL 사이트에서 가져온 기본 URL입니다 Elasticsearch .
      링크 URL [선택사항] 사용 가능한 경우, Kibana 인스턴스에 대한 링크
      사용자 이름 인텔 Elasticsearch 사용자 이름입니다.
      암호 인텔 Elasticsearch 암호입니다.
      최대 행 수 검색할 행의 최대 수입니다.
      가장 빠른 결과(일) 일수 단위로 보려는 가장 빠른 결과입니다.
      검색 결과에 원시 데이터 샘플 포함 사이팅 검색 결과에 원시 데이터 샘플을 포함하려면 이 옵션을 선택합니다. 반환되는 데이터의 양은 보안 인시던트 응답 속성의원시 데이터 속성 행 수의 설정에 따라 달라집니다.
      MID 서버 활성 MID 서버를 사용하려면 임의 를 선택하고, 특정 MID 서버 이름을 선택합니다.
      주:
      이 통합을 구성하면 워크플로우가 활성화됩니다. 워크플로우를 관리하려면 워크플로우 편집기로 이동합니다.
    6. 제출을 클릭합니다.
      통합 구성 카드가 표시됩니다.
    7. 새 구성 카드를 볼 때 구성 또는 삭제를 클릭하여 구성을 변경하거나 삭제할 수 있습니다.
    8. 통합 구성 카드의 원래 목록으로 돌아가려면 구성 표시 드롭다운 목록에서 아니요를 선택합니다.

    결과

    구성된 후에는 보안 인시던트 응답의 Elasticsearch 감시 목록에 옵저버블을 게시하기 위해 인시던트 보강 통합을 선택할 수 있습니다.