Now Platform 이벤트 수집 통합을 위한 ArcSight ESM 인스턴스 설정

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기4분

    • 다음 섹션에서는 에서 애플리케이션을 ServiceNow Store설치하기 전에 인스턴스에서 완료해야 Now Platform® 하는 설정 작업을 나열합니다.

    시작하기 전에

    필요한 역할: 관리자

    이 태스크 정보

    원활한 설치 및 구성을 위해 애플리케이션을 다운로드하고 설치하기 전에 다음 테이블을 참조하고 나열된 작업을 모두 완료했는지 확인하십시오.

    설정 작업 설명
    필수 Now Platform® 역할과 보안 인시던트 응답(SIR) 역할을 할당했는지 확인합니다.

    인스턴스에서 통합을 Now Platform® 설치, 설정 및 사용하려면 다음 역할이 필요합니다.

    • 관리자 역할(admin)의 Now Platform® 사용자는 보안 인시던트 관리자(sn_si.admin) 역할을 사용하여 ServiceNow Store 애플리케이션을 설치하고 할당합니다.
    • sn_si.admin 역할을 가진 사용자는 다음 Now Platform®에서 다음 작업을 감독합니다.
      • 이벤트 프로파일의 이름을 지정하고, 생성하고, 편집합니다.
      • 상관관계 이벤트에서 보안 인시던트로 ArcSight ESM 값을 선택하고 매핑합니다.
      • 구성을 완료하기 전에 보안 인시던트 상세 정보가 정확한지 미리 봅니다.
      • 진행 중인 상관 관계 이벤트 수집을 예약합니다.
      • SIR 인시던트가 생성되고 종결되면 상관 관계 이벤트 업데이트를 활성화합니다.
      • 보안 인시던트 분석가(sn_si.analyst) 역할을 할당합니다.
      • sn_si.analyst 사용자는 보안 인시던트에 대한 작업을 수행합니다.

    역할 및 사용자에게 역할을 할당하는 방법에 대한 자세한 내용은 ServiceNow 제품 설명서 웹 사이트의 역할을 참조하십시오.
    Manager 버전 7.0.0.2436 이상을 ArcSight ESM 사용하고 있는지 확인합니다. 이전 버전은 지원되지 않습니다. 쿼리 뷰어에 ArcSight ESM 대한 액세스 권한이 있는 경우 이 통합에 필요한 API에 액세스할 수 있습니다. API에 필요한 다른 특수 설정은 없습니다.
    에서 쿼리 뷰어를 ArcSight ESM설정합니다. 상관관계 이벤트를 수집하려면 먼저 콘솔에서 쿼리 뷰어를 ArcSight ESM 구성해야 합니다. 자세한 내용은 쿼리 뷰어 설정Set up the ArcSight ESM Query Viewer 문서를 참조하십시오.
    옵션

    에서 ArcSight ESM 상관관계 이벤트 업데이트에 대한 사용자 지정 스테이지를 생성합니다.

    		 상관관계 이벤트는 종결되기 전에 수명주기에서 여러 스테이지를 거칩니다. ArcSight ESM 초기, 모니터링, 큐에 대기 중 및 종결됨과 같은 기본 스테이지를 제공합니다. 이 스테이지 중 일부는 사용자 입력이 필요하지만, 다른 스테이지는 사용자 개입 없이 이벤트에 자동으로 적용됩니다( 콘솔에서 사용자 필수 필드가 선택 ArcSight ESM 취소되어 있음).

    사용자 개입이 필요하지 않은 사용자 지정 스테이지를 생성하여 인스턴스에서 사용할 수 있습니다 Now Platform® . 자세한 내용은 추가 옵션: 인시던트 상태에 따라 SIR 상호 관련된 이벤트 업데이트 및 종결을 자동화 문서를 참조하십시오.
    MID 서버 애플리케이션을 설치하고 구성했는지 확인하십시오. 구성된 MID 서버 애플리케이션

    서버가 회사 네트워크 내에 배포된 경우 ArcSight ESM 서비스의 MID Server Now Platform® 가 서비스에 연결 ArcSight ESM 되어야 합니다. MID 서버 애플리케이션 구성 방법에 대한 지침은 을 참조하십시오 이벤트 수집 통합을 위한 ArcSight ESM ServiceNow 애플리케이션 설치 및 구성 .

    MID 서버에 대한 자세한 내용은 MID 서버를 참조하십시오.

    인터넷에 액세스할 수 있는 호스팅 서비스 또는 클라우드 서비스를 사용하는 경우에는 MID 서버가 필요하지 않습니다.
    ServiceNow 통합을 위해 애플리케이션을 설치하기 전에 통합을 지원하는 데 필요한 핵심 애플리케이션이 설치되고 활성화되었는지 확인합니다.

    에서 ServiceNow Store다음 보안 운영 애플리케이션이 설치되고 활성화되는지 확인합니다. 설치되지 않은 경우 원활한 설치를 위해 다음 순서로 한 번에 하나의 애플리케이션을 설치하고 활성화합니다.

    1. 보안 인시던트 응답
    2. 보안 통합 프레임워크
    3. Security Support Common
    4. 보안 운영용 이벤트 및 경보 수집: 이 애플리케이션에는 다음이 필요합니다.
      • com.glide.hub.integration.runtime => ServiceNow 통합 허브 런타임
      • com.glide.hub.action_step.rest => ServiceNow 통합 허브 작업 단계 - REST
    5. 위협 코어

    핵심 애플리케이션 설치에 보안 운영 대한 자세한 내용은 해당 애플리케이션 활성화 ServiceNow Store문서를 참조하십시오제품 또는 애플리케이션에 대한 보안 운영 권리 가져오기.

    다음에 수행할 작업

    통합을 위한 인스턴스를 성공적으로 설정 Now Platform® 했습니다. 다음 단계는 통합을 위해 보안 운영용 보안 이벤트 수집 애플리케이션을 ServiceNow Store 설치하는 ArcSight ESM 것입니다.