Configurer et activer l’intégration Elasticsearch

Rversion finale: Zurich

Mis à jour 31 juil. 2025

2 minutes de lecture

Elasticsearch est un moteur de recherche et d’analyse RESTful distribué qui s’intègre facilement à Security Operations.

Avant de commencer

Avant de pouvoir utiliser Elasticsearch, vous devez le télécharger à partir du ServiceNow Store.

Rôle requis : sn_sec_tisc.admin

Le module d’extension Centre de sécurité des renseignements sur les menaces doit être installé et activé avant de pouvoir utiliser l’intégration Elasticsearch.
Obtenez l’URL de base de l’API Elasticsearch, l’URL de base Kibana, le nom d’utilisateur et le mot de passe sous votre profil Elasticsearch.

Procédure

À l’aide de votre instance, accédez au Centre de sécurité des renseignements sur les menaces.
Télécharger l’intégration à partir de ServiceNow Store.
Une fois l’installation terminée, accédez à Espaces de travail > Centre de sécurité des renseignements sur les menaces.
Sélectionner Intégrations > Intégrations de l'enrichissement > Toutes les intégrations.
Vous pouvez également accéder à Intégrations > Intégrations de l'enrichissement > Toutes les intégrations > Recherche de perception

Remarque :
Les intégrations configurées apparaissent sous la forme d’une série de cartes.
Dans la carte Elasticsearch , cliquez sur Configurer un nouvel enrichissement pour configurer l’intégrationElasticsearch .

Renseignez les champs du formulaire Configurer un nouvel enrichissement.

Tableau 1. Intégration de l'enrichissement
Champ	Description
Nom	Entrez un nom pour la configuration de recherche de perceptions.
Nom du fournisseur	Nom du fournisseur. Les détails du fournisseur sélectionné sont renseignés par défaut. Par exemple, Elasticsearch.
Type d'intégration	Type d’intégration que vous avez sélectionné. Par exemple, Recherche de menace.
Description	Saisissez la description de l’intégration Elasticsearch. Par exemple, l’intégration d’enrichissement Elasticsearch facilite l’enquête d’un observable en prenant en charge l’interrogation des journaux dans votre déploiement Elasticsearch.
Configuration de l’intégration
URL de base de l'API Elasticsearch	URL de base que vous avez acquise sur le site Elasticsearch.
URL de base Kibana	L’URL de base Kibana. [Facultatif] Liens vers une instance Kibana, le cas échéant.
Nom d'utilisateur	Votre nom d’utilisateur Intel Elasticsearch.
Mot de passe	Votre mot de passe Intel Elasticsearch.
Index Elasticsearch	Index Elasticsearch. Ceux-ci contiendront à leur tour des documents uniques à chaque index. Les index sont identifiés par des noms en minuscules qui font référence aux actions effectuées (telles que la recherche et la suppression).
Champ de plage de dates	Horodatage de la configuration.
Lignes max.	Le nombre maximal de lignes que vous souhaitez rechercher.
Tout premier résultat (jours)	Les résultats les plus récents que vous souhaitez voir, en nombre de jours.
Inclure les exemples de données brutes dans les résultats de recherche	Sélectionnez cette option pour inclure des exemples de données brutes dans vos résultats de recherche d’observations. La quantité de données renvoyées dépend de votre paramètre dans la propriété nombre de lignes de données brutes dans les propriétés de Réponse aux incidents de sécurité.
Serveur MID	Sélectionnez N’importe lequel pour utiliser n’importe quel serveur MID actif ou sélectionnez un nom de serveur MID spécifique.

Remarque :

La configuration de cette intégration active les workflows. Pour gérer les workflows, accédez à l’éditeur de workflow.

Cliquez sur Enregistrer.
Les détails de l’intégration sont validés et, par défaut, l’état de l’intégration Elasticsearch est désactivé.
Cliquez sur Activer pour activer l’intégration Elasticsearch.

Résultats

Une fois configuré, Elasticsearch peut être sélectionné pour effectuer une recherche de perception sur les observables dans Centre de sécurité des renseignements sur les menaces.