Konfigurieren und aktivieren Sie die Elasticsearch-Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Elasticsearch ist eine verteilte RESTful-Such- und Analytics-Engine, die sich problemlos in Security Operations integrieren lässt.

    Vorbereitungen

    Bevor Sie Elasticsearch verwenden können, müssen Sie sie aus dem ServiceNow Store herunterladen.

    Erforderliche Rolle: sn_sec_tisc.admin

    • Das Plugin „Threat Intelligence Security Center“ muss installiert und aktiviert sein, bevor Sie die Elasticsearch-Integration verwenden können.
    • Rufen Sie die Elasticsearch-API-Basis-URL, die Kibana-Basis-URL, den Anwendernamen und das Passwort unter Ihrem Elasticsearch-Profil ab.

    Prozedur

    1. Greifen Sie mit Ihrer Instanz auf zu Threat Intelligence-Sicherheitszentrum .
    2. Laden Sie die Integration aus dem herunter ServiceNow Storean.
    3. Wenn die Installation abgeschlossen ist, navigieren Sie zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
    4. Auswahlvorgang Integrationen > Ergänzungsintegrationen > Alle Integrationenan.
    5. Alternativ können Sie zu navigieren Integrationen > Ergänzungsintegrationen > Alle Integrationen > Sichtungssuche
      Hinweis:
      Die konfigurierten Integrationen werden als Reihe von Karten angezeigt.
    6. In Elasticsearch Karte, klicken Sie auf Konfigurieren Sie Neue Anreicherung Zum Konfigurieren Elasticsearch Integration.
    7. Füllen Sie die Felder im Formular „neue Anreicherung konfigurieren“ aus.
      Tabelle : 1. Ergänzungsintegration
      Feld Beschreibung
      Name Geben Sie einen Namen für die Sichtungssuchkonfiguration ein.
      Lieferantenname Name des Lieferanten. Die Details des ausgewählten Lieferanten werden standardmäßig ausgefüllt. Beispiel: Elasticsearch.
      Integrationstyp Typ der von Ihnen ausgewählten Integration. Beispiel: Bedrohungssuche.
      Beschreibung Geben Sie die Beschreibung für die Elasticsearch-Integration ein. Beispielsweise hilft die Elasticsearch-Ergänzungsintegration bei der Untersuchung eines erkennbaren Elements, indem sie die Abfrage von Protokollen in Ihrer Elasticsearch-Bereitstellung unterstützt.
      Integrationskonfiguration
      Basis-URL der Elasticsearch-API Die Basis-URL, die Sie von der Elasticsearch-Website erworben haben.
      Kibana-Basis-URL Die Kibana-Basis-URL. [Optional] Links zu einer Kibana-Instanz, falls verfügbar.
      Anwendername Ihr Intel Elasticsearch-Anwendername.
      Passwort Ihr Intel Elasticsearch-Passwort.
      Elasticsearch-Index Der Elasticsearch-Index. Diese wiederum enthalten Dokumente, die für jeden Index eindeutig sind. Indizes werden durch Kleinbuchstabennamen identifiziert, die sich auf Aktionen beziehen, bei denen es sich um ausgeführte Aktionen handelt (z. B. Suchen und Löschen).
      Feld „Datumsbereich“ Der Zeitstempel der Konfiguration.
      Max. Zeilen Die maximale Anzahl von Zeilen, die Sie durchsuchen möchten.
      Erstes Ergebnis (Tage) Die frühesten Ergebnisse, die Sie in Tagen anzeigen möchten.
      Rohdatenmuster in Suchergebnissen berücksichtigen Wählen Sie diese Option aus, um Beispiele von Rohdaten in Ihre Sichtungssuchergebnisse aufzunehmen. Die Menge der zurückgegebenen Daten hängt von Ihrer Einstellung für die Anzahl der Zeilen der Rohdateneigenschaft in ab Eigenschaften von Security Incident Response .
      MID-Server Wählen Sie beliebig aus, um einen aktiven MID-Server zu verwenden, oder wählen Sie einen bestimmten MID-Server-Namen aus.
      Hinweis:
      Durch die Konfiguration dieser Integration werden Workflows aktiviert. Um die Workflows zu verwalten, navigieren Sie zum Workflow-Editor.
    8. Klicken Sie auf Speichern.
      Die Integrationsdetails werden validiert, und standardmäßig ist der Status der Elasticsearch-Integration deaktiviert.
    9. Klicken Sie Auf Aktivieren Zum Aktivieren der Elasticsearch-Integration.

    Ergebnisse

    Nach der Konfiguration kann Elasticsearch ausgewählt werden, um eine Sichtungssuche für erkennbare Elemente im Threat Intelligence-Sicherheitszentrum durchzuführen.