Comece a usar o. Elasticsearch- Integração de aprimoramento de incidentes

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • ElasticsearchÉ um mecanismo de pesquisa e análise RESTful distribuído que se integra facilmente ao Operações de segurança. Antes de poder usar o. Elasticsearch- Integração de aprimoramento de incidentes, você deve baixá-la do ServiceNow StoreE adicione o URL base da API apropriado e as credenciais de login.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Baixe a integração do ServiceNow Store.
    2. Quando a instalação estiver concluída, acesse ElasticsearchE obtenha o URL base da API em seu perfil do Elasticsearch.
    3. Em sua instância, navegue até Operações de segurança > Integrações > Configurações de Integração.
      As integrações de segurança disponíveis aparecem como uma série de cartões.
    4. Em Elasticsearch- Cartão de aprimoramento de incidente, clique em Novo .
      Configuração elástica
    5. Preencha os campos, conforme necessário.
      Campo Descrição
      Nome O nome desta configuração.
      URL base da API Elasticsearch O URL base adquirido do Elasticsearchlocal.
      URL do Link [Opcional] Links para uma instância do Kibana, quando disponível
      Nome do usuário Sua Intel Elasticsearchnome de usuário.
      Senha Sua Intel Elasticsearchsenha.
      Máx. de Linhas O número máximo de linhas que você deseja pesquisar.
      Resultado Mais Antigo (dias) Os primeiros resultados que você deseja ver em número de dias.
      Incluir amostras de dados brutos nos resultados da pesquisa Selecione esta opção para incluir amostras de dados brutos nos resultados da pesquisa de detecções. A quantidade de dados retornados depende da sua configuração no número de linhas de dados brutos propriedade em Propriedades de resposta a incidentes de segurança .
      MID Server Selecione Qualquer Para usar qualquer MID Server ativo ou selecione um nome de MID Server específico.
      Nota:
      A configuração desta integração ativa fluxos de trabalho. Para gerenciar os fluxos de trabalho, navegue até Editor de fluxo de trabalho .
    6. Clique em Enviar.
      O cartão de configuração de integração é exibido.
    7. Ao exibir o novo cartão de configuração, você pode clicar em Configurar ou Excluir para alterar ou excluir a configuração, respectivamente.
    8. Para retornar à lista original de cartões de configuração de integração, selecione Não em Mostrar configurações lista suspensa.

    Resultado

    Depois de configurado, o. Elasticsearch- A integração de aprimoramento de incidentes pode ser selecionada para publicar observáveis em listas de observação na Resposta a incidentes de segurança.