ArcSight ESM イベントの取り込み統合のために ServiceNow AI Platform インスタンスを設定

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:5分

    • 次のセクションでは、ServiceNow Store からアプリケーションをインストールする前に ServiceNow AI Platform® インスタンスで完了する必要があるセットアップタスクを示します。

    始める前に

    必要なロール:admin

    このタスクについて

    スムーズなインストールと構成を行うために、 アプリケーションをダウンロードしてインストールする前に、次のテーブルを参照して、リストされたすべてのタスクを完了していることを確認してください。

    セットアップタスク 説明
    必要な ServiceNow AI Platform® および セキュリティインシデントレスポンス (SIR) のロールがアサインされていることを確認します。

    ServiceNow AI Platform® インスタンスで統合をインストール、セットアップ、および使用するには、次のロールが必要です。

    • ServiceNow AI Platform® アドミニストレーターロール (admin) を持つユーザーが ServiceNow Store からアプリケーションをインストールし、セキュリティインシデントアドミニストレーター (sn_si.admin) ロールをアサインします。
    • sn_si.admin ロールを持つユーザーは、ServiceNow AI Platform® で次のタスクを監督します。
      • イベントプロファイルに名前を付け、作成し、編集します。
      • ArcSight ESM 相関イベントから値を選択し、セキュリティインシデントにマップします。
      • 構成を確定する前に、正確性を確認するためにセキュリティインシデントの詳細をプレビューします。
      • 進行中の相関イベント取り込みをスケジュールします。
      • SIR インシデントが作成されてクローズされたときに、相関イベントの更新を有効にします。
      • セキュリティインシデントアナリスト (sn_si.analyst) ロールをアサインします。
      • sn_si.analyst を持つユーザーは、セキュリティインシデントを処理します。

    ロールとユーザーへのロールの割り当ての詳細については、Servicenow 製品ドキュメント Web サイトの「ロール」を参照してください。
    ArcSight ESM Manager のバージョン 7.0.0.2436 以降を使用していることを確認します。以前のバージョンはサポートされていません。 ArcSight ESM クエリビューアーへのアクセス権がある場合は、この統合に必要な API にアクセスできます。API に必要なその他の特別なセットアップはありません。
    ArcSight ESM でクエリビューアーを設定します。 相関イベントを取り込む前に、ArcSight ESM コンソールでクエリビューアーを構成する必要があります。詳細については、「ArcSight ESM クエリビューアーの設定」を参照してください。
    Optional

    ArcSight ESM に相関イベント更新のカスタムステージを作成します。

    		 相関イベントは、クローズされるまでにライフサイクルで多くのステージを通過します。ArcSight ESM は、初期、監視、キューに格納、クローズ済みなどのデフォルトのステージを提供します。これらのステージの中にはユーザー入力が必要なものもありますが、ユーザーの介入なしにイベントに自動的に適用されるステージもあります (ArcSight ESM コンソールで [ユーザーが必要] フィールドはオフになっています)。

    ユーザーの介入を必要としないカスタムステージを作成し、ServiceNow AI Platform® インスタンスで使用できます。詳細については、「その他のオプション:SIR インシデント状況に基づく相関イベントの更新とクローズの自動化」を参照してください。
    MID サーバーアプリケーションがインストールおよび設定されていることを確認します。 設定された MID サーバーアプリケーション

    ArcSight ESM サーバーが企業ネットワーク内に展開されている場合、 ServiceNow AI Platform® インスタンスの MID サーバーを ArcSight ESM サービスに接続する必要があります。MID サーバーアプリケーションの構成方法については、「ArcSight ESM イベント取り込み統合用の ServiceNow アプリケーションのインストールと設定」を参照してください。

    MID サーバーについては、「MID サーバー」を参照してください。

    ホステッドサービスまたはクラウドサービスを使用している場合、つまりインターネットにアクセスできる場合、MID サーバーは必要ありません。
    統合用のアプリケーションをインストールする前に、統合をサポートするために必要な ServiceNow コアアプリケーションがインストールされ、アクティブ化されていることを確認します。

    次の セキュリティオペレーション アプリケーションが、ServiceNow Store からインストールされ、アクティブ化されていることを確認します。インストールされていない場合は、スムーズにインストールできるように、次の順序で一度に 1 つずつアプリケーションをインストールしてアクティブ化します。

    1. セキュリティインシデントレスポンス
    2. Security Integration Framework
    3. Security Support Common
    4. Security Operations のイベントとアラートの取り込み:このアプリケーションでは次のものが必要です。
      • com.glide.hub.integration.runtime => ServiceNow 統合ハブランタイム
      • com.glide.hub.action_step.rest => ServiceNow 統合ハブアクションステップ - REST
    5. Threat Core

    セキュリティオペレーション コアアプリケーションのインストールの詳細については、「セキュリティオペレーション 製品またはアプリケーションのエンタイトルメントの取得」および「ServiceNow Store アプリケーションのアクティブ化」を参照してください。

    次のタスク

    統合のために ServiceNow AI Platform® インスタンスが正常に設定されました。次のステップでは、統合のために ServiceNow Store から ArcSight ESM Security Event Ingestion for Security Operations アプリケーションをインストールします。