Configurer et activer Elasticsearch l’intégration

Rversion finale: Australia

Mis à jour 12 mars 2026

2 minutes de lecture

Elasticsearch est un moteur de recherche et d’analyse RESTful distribué qui s’intègre facilement à Opérations de sécurité.

Avant de commencer

Avant de pouvoir utiliser le Elasticsearch, vous devez le télécharger à partir du ServiceNow Store.

Rôle requis : sn_sec_tisc.admin

Important :

Le Centre de sécurité des renseignements sur les menaces module d’extension doit être installé et activé avant de pouvoir utiliser l’intégration Elasticsearch .
Obtenez l’URL de base de l’API, l’URL de base Kibana, le nom d’utilisateur et le Elasticsearch mot de passe sous votre Elasticsearch profil.

Procédure

À l’aide de votre instance, accédez au Centre de sécurité des renseignements sur les menaces.
Télécharger l’intégration à partir de ServiceNow Store.
Une fois l’installation terminée, accédez à Espaces de travail > Centre de sécurité des renseignements sur les menaces.
Sélectionner Intégrations > Intégrations de l'enrichissement > Toutes les intégrations.
Vous pouvez également accéder à Intégrations > Intégrations de l'enrichissement > Toutes les intégrations > Recherche de perception

Remarque :
Les intégrations configurées s’affichent sous la forme d’une série de cartes.
Dans la carte Elasticsearch , sélectionnez Configurer un nouvel enrichissement pour configurer l’intégration Elasticsearch .

Renseignez les champs du formulaire Configurer un nouvel enrichissement.

Tableau 1. Intégration de l'enrichissement
Champ	Description
Nom	Entrez un nom pour la configuration de recherche de perceptions.
Nom du fournisseur	Nom du fournisseur. Les détails du fournisseur sélectionné sont renseignés par défaut. Par exemple, Elasticsearch.
Type d'intégration	Type d’intégration que vous avez sélectionné. Par exemple, Recherche de menace.
Description	Saisissez la description de l’intégration Elasticsearch . Par exemple, l’intégration d’enrichissement Elasticsearch facilite l’enquête d’un observable en prenant en charge l’interrogation des journaux dans votre déploiement Elasticsearch.
Configuration de l'intégration
Elasticsearch URL de base de l’API	L’URL de base que vous avez acquise sur le Elasticsearch site.
URL de base Kibana	L’URL de base Kibana. [Facultatif] Liens vers une instance Kibana, le cas échéant.
Nom d'utilisateur	Votre nom d’utilisateur Intel Elasticsearch .
Mot de passe	Votre mot de passe Intel Elasticsearch .
Elasticsearch Indice	L’index Elasticsearch . Ceux-ci contiendront à leur tour des documents uniques à chaque index. Les indices sont identifiés par des noms en minuscules qui font référence aux actions effectuées (telles que la recherche et la suppression).
Champ de plage de dates	L’horodatage de la configuration.
Lignes max.	Le nombre maximal de lignes que vous souhaitez rechercher.
Tout premier résultat (jours)	Résultats les plus récents que vous souhaitez voir, en nombre de jours.
Inclure les exemples de données brutes dans les résultats de recherche	Sélectionnez cette option pour inclure des exemples de données brutes dans vos résultats de recherche d’observations. La quantité de données renvoyées dépend de votre paramètre dans le nombre de lignes de la propriété de données brutes dans les propriétés de Réponse aux incidents de sécurité.
Serveur MID	Sélectionnez N’importe lequel pour utiliser n’importe quel serveur MID actif ou sélectionnez un nom de serveur MID spécifique.

Remarque :

La configuration de cette intégration active les workflows. Pour gérer les workflows, accédez à l’éditeur de workflow.

Sélectionnez Enregistrer.
Les détails de l’intégration sont validés et, par défaut, l’état de l’intégration Elasticsearch est désactivé.
Sélectionnez Activer pour activer l’intégration Elasticsearch .

Résultats

Une fois configuré, Elasticsearch peut être sélectionné pour effectuer une recherche de perception sur les observables dans Centre de sécurité des renseignements sur les menaces.