Installieren und konfigurieren Sie die ServiceNow-Anwendung für ArcSight ESM Integration der Ereigniserfassung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Bevor Sie die Integration für ausführen ServiceNow AI Platform® Führen Sie diese Installations- und Konfigurationsschritte aus, damit die Anwendung ordnungsgemäß in integriert wird Security Incident Response Und Security Operations Produkte auf Ihrem ServiceNow AI Platform Instanz.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wenn Sie den nicht installiert haben ArcSight ESM Anwendung aus dem ServiceNow Store Informationen zur Integration finden Sie unter Installieren Sie ein Security Operations Integration Und führen Sie die Schritte aus, um es zu installieren.
    2. Nachdem Sie die Anwendung erfolgreich installiert haben, navigieren Sie zu Integrationen > Integrationskonfigurationen Und suchen Sie ArcSight ESM Kachel.
    3. Klicken Sie auf , um die Anwendung zu konfigurieren Neu .
    4. Alternativ, wenn ein Konfigurieren Die Schaltfläche wird auf einer Kachel angezeigt. Klicken Sie darauf, um eine vorhandene Konfiguration zu bearbeiten.
    5. Füllen Sie im Formular die Felder aus.
      FeldBeschreibung
      Name Eindeutiger Name für ArcSight ESM Manager, der in der Integrationsprofilkonfiguration verwendet wird, um mehrere zu unterscheiden ArcSight ESM Manager-Quellen, falls erforderlich.

      Leerzeichen werden für Namen unterstützt, Klammern werden jedoch nicht unterstützt.
      URL für ArcSight API-Endpunkt URL für Ihren ArcSight ESM Manager-Server. Beachten Sie, dass die URL den API-Port enthalten sollte, z. B.: https://arcsight-esm.com:8443
      API-Account-Anwendername Anwendername, den Sie für Ihren API-Anwenderaccount in erstellt haben ArcSight ESM Managerkonsole.
      API-Passwort Passwort, das Sie für Ihren API-Anwenderaccount in erstellt haben ArcSight ESM Managerkonsole.
      Lokale Bereitstellung Standardmäßig ist dieses Kontrollkästchen deaktiviert.

      Wenn Sie die cloudbasierte Version von verwenden ArcSight ESM Wenn über direkten Internetzugang verfügt, überprüfen Sie, ob das Kontrollkästchen deaktiviert ist.

      Aktivieren Sie für eine lokale Bereitstellung dieses Kontrollkästchen, und geben Sie die MID-Serveranwendung an.
      MID-Server-Anwendung Geben Sie hier einen Namen für die MID-Server-Anwendung an. Diese MID-Serveranwendung kann auf einen der konfigurierten MID-Server verweisen, und jeder verfügbare MID-Server wird verwendet.

      Wenn Sie keine MID-Server-Anwendung konfiguriert haben, müssen Sie eine neue MID-Server-Anwendung für diese Integration erstellen.

      Hinweis:
      Die MID-Serveranwendung kann nur von Anwendern mit der Systemadministratorrolle konfiguriert werden.
      Gehen Sie wie folgt vor, um eine neue MID-Server-Anwendung zu erstellen:
      1. Navigieren zu MID-Server > Anwendungen Und klicken Sie auf Neu .
      2. Geben Sie einen Namen für die MID-Server-Anwendung ein, und wählen Sie einen MID-Server aus, der als Standard verwendet werden soll.
      3. Deaktivieren Sie das Kontrollkästchen in Anwendung ALLE enthalten, und klicken Sie auf Speichern .
        ArcSight ESM: MID-Anwendung erstellen
      4. Klicken Sie auf Bearbeiten. In Bearbeiten Sie Mitglieder Wählen Sie alle verfügbaren MID-Server aus, verschieben Sie sie in die Liste DER MID-Server, und klicken Sie auf Speichern .
      5. Die ausgewählten MID-Server werden wie unten gezeigt aufgelistet.
        ArcSight ESM: MID-Anwendung erstellen: MID
      Je nach Verfügbarkeit wird einer der mit der MID-Serveranwendung konfigurierten MID-Server verwendet.
    6. Geben Sie die Konfigurationsdetails ein, und geben Sie die von Ihnen erstellte MID-Server-Anwendung an.
      ArcSight ESM: Konfiguration
      Jedes Korrelationsereignis, das Sie von erfassen ArcSight ESM Die Managerkonsole erfordert ein eindeutiges Ereignisprofil in Ihrer Instanz. Jedoch ist ArcSight ESM Die Quelle, die Sie im Formular „Konfiguration der Ereigniserfassung“ konfigurieren, kann für mehrere Profile wiederverwendet werden, solange jedes Profil eindeutige Korrelationsereignistypen erfasst.
    7. Klicken Sie auf Absenden.
      Nachdem sie erfolgreich validiert und übermittelt wurde, jeweils ArcSight ESM Die Serverkonfiguration wird auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln nicht auf der Seite „Sicherheitsintegrationen“ angezeigt werden, klicken Sie oben rechts auf der Seite in der Auswahlliste Konfigurationen anzeigen auf Ja .

    Nächste Maßnahme

    Sie haben die Anwendung erfolgreich installiert und konfiguriert. Der nächste Schritt besteht darin, ein Ereignisprofil zu erstellen.