Beginnen Sie mit der Integration von HPE ArcSight Logger  – Incident-Ergänzung

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • HPE ArcSight Logger streamt Echtzeitdaten, kategorisiert sie in bestimmte Protokolle und lässt sich problemlos in Security Operationsintegrieren. Bevor Sie die Integration HPE ArcSight Logger  – Incident-Anreicherung verwenden können, müssen Sie sie aus dem ServiceNow Store herunterladen und die API-URL und Anmeldeinformationen hinzufügen.

    Vorbereitungen

    Erforderliche Rolle: sn_si_admin

    Prozedur

    1. Laden Sie die Integration aus dem herunter ServiceNow Store.
    2. Wenn die Installation abgeschlossen ist, navigieren Sie zu Security Operations > Integrationen > Integrationskonfigurationen.
      Die verfügbaren Sicherheitsintegrationen werden als eine Reihe von Karten angezeigt.
    3. Klicken Sie in der Karte HPE ArcSight Logger  – Incident-Ergänzung auf Neu.
      Konfiguration der HPE ArcSight-Protokollierung
    4. Füllen Sie die Felder nach Bedarf aus.
      Feld Beschreibung
      Name Der Name dieser Konfiguration.
      Basis-URL der ArcSight Logger-API Die Basis-URL, die Sie von der HPE Security ArcSight Logger-Website abgerufen haben.
      Link-URL [Optional] Die Link-URL, die auf eine HPE Security ArcSight Logger-Instanz verweist, sofern verfügbar.
      Benutzername Ihr Intel HPE ArcSight Logger -Benutzername.
      Passwort Ihr Intel HPE ArcSight Logger -Passwort.
      Erstes Ergebnis (Tage) Die frühesten Ergebnisse, die Sie anzeigen möchten, in Tagen.
      Max. Zeilen Die maximale Anzahl von Zeilen, die Sie durchsuchen möchten.
      Alle Peers Standardmäßig ist diese Option deaktiviert. Durchsucht wird nur die lokale Protokollierung, mit der Sie verbunden sind. Wenn diese Option aktiviert ist, werden alle Protokollierungen durchsucht, die miteinander verbunden sind.
      Rohdatenmuster in Suchergebnissen berücksichtigen Wählen Sie diese Option aus, um Beispiele von Rohdaten in Ihre Sichtungssuchergebnisse aufzunehmen. Die Menge der zurückgegebenen Daten hängt von Ihrer Einstellung in der Eigenschaft „ Anzahl der Zeilen der Rohdaten“ in Security Incident Response-Eigenschaftenab.
      MID-Server Wählen Sie Beliebig aus, um einen beliebigen aktiven MID Server zu verwenden, oder wählen Sie einen bestimmten MID Server-Namen aus.
      Hinweis:
      Durch die Konfiguration dieser Integration werden Workflows aktiviert. Um die Workflows zu verwalten, navigieren Sie zum Workflow-Editor.
    5. Klicken Sie auf Absenden.
      Die Integrationskonfigurationskarte wird angezeigt.
    6. Wenn Sie die neue Konfigurationskarte anzeigen, können Sie auf Konfigurieren oder Löschen klicken, um die Konfiguration zu ändern oder zu löschen.
    7. Um zur ursprünglichen Liste der Integrationskonfigurationskarten zurückzukehren, wählen Sie in der Dropdown-Liste Konfigurationen anzeigen die Option Nein aus.