Configurer et activer l’intégration d’Elasticsearch

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Elasticsearch est un moteur de recherche et d’analyse distribué et RESTful qui s’intègre facilement à Security Operations.

    Avant de commencer

    Avant de pouvoir utiliser Elasticsearch, vous devez le télécharger à partir du ServiceNow Store.

    Rôle requis : sn_sec_tisc.admin

    • Le module d’extension Threat Intelligence Security Center doit être installé et activé avant de pouvoir utiliser l’intégration Elasticsearch.
    • Obtenez l’URL de base de l’API Elasticsearch, l’URL de base Kibana, le nom d’utilisateur et le mot de passe sous votre profil Elasticsearch.

    Procédure

    1. À l’aide de votre instance, accédez au Centre de sécurité des renseignements sur les menaces.
    2. Téléchargez l’intégration à partir de ServiceNow Store.
    3. Une fois l’installation terminée, accédez à Espaces de travail > Threat Intelligence Security Center.
    4. Sélectionner Intégrations > Intégrations de l'enrichissement > Toutes les intégrations.
    5. Vous pouvez également accéder à Intégrations > Intégrations de l'enrichissement > Toutes les intégrations > Recherche de perception
      Remarque :
      Les intégrations configurées apparaissent sous la forme d’une série de cartes.
    6. Dans la carte Elasticsearch , cliquez sur Configurer un nouvel enrichissement pour configurer Elasticsearch Integration.
    7. Renseignez les champs du formulaire Configurer un nouvel enrichissement.
      Tableau 1. Intégration de l'enrichissement
      Champ Description
      Nom Entrez un nom pour la configuration de la recherche de perceptions.
      Nom du fournisseur Nom du fournisseur. Les détails du fournisseur sélectionné sont renseignés par défaut. Par exemple, Elasticsearch.
      Type d'intégration Type d’intégration que vous avez sélectionné. Par exemple, Recherche de menace.
      Description Saisissez la description de l’intégration Elasticsearch. Par exemple, l’intégration d’enrichissement Elasticsearch facilite l’enquête sur un observable en prenant en charge l’interrogation des journaux dans votre déploiement Elasticsearch.
      Configuration de l'intégration
      URL de base de l'API Elasticsearch L’URL de base que vous avez acquise sur le site Elasticsearch.
      URL de base Kibana URL de base Kibana. [Facultatif] Liens vers une instance Kibana, lorsqu’elle est disponible.
      Nom d'utilisateur Votre nom d’utilisateur Intel Elasticsearch.
      Mot de passe Votre mot de passe Intel Elasticsearch.
      Index Elasticsearch L’index Elasticsearch. Ceux-ci contiendront à leur tour des documents uniques à chaque index. Les index sont identifiés par des noms en minuscules qui font référence à des actions effectuées (telles que la recherche et la suppression).
      Champ de plage de dates Horodatage de la configuration.
      Lignes max. Le nombre maximal de lignes que vous souhaitez rechercher.
      Tout premier résultat (jours) Les résultats les plus récents que vous souhaitez voir, en nombre de jours.
      Inclure les exemples de données brutes dans les résultats de recherche Sélectionnez cette option pour inclure des exemples de données brutes dans vos résultats de recherche d’observations. La quantité de données renvoyées dépend du paramètre que vous définissez sur le nombre de lignes de la propriété de données brutes dans les propriétés de Réponse aux incidents de sécurité.
      Serveur MID Sélectionnez N’importe lequel pour utiliser n’importe quel Serveur MID actif ou sélectionnez un nom de Serveur MID spécifique.
      Remarque :
      La configuration de cette intégration active les workflows. Pour gérer les workflows, accédez à l’éditeur de workflow.
    8. Cliquez sur Enregistrer.
      Les détails de l’intégration sont validés et, par défaut, l’état de l’intégration Elasticsearch est désactivé.
    9. Cliquez sur Activer pour activer l’intégration d’Elasticsearch.

    Résultats

    Une fois qu’il est configuré, Elasticsearch peut être sélectionné pour effectuer une recherche de perception sur les observables dans Threat Intelligence Security Center.