Instale e configure a aplicação ServiceNow para ArcSight ESMIntegração de ingestão de evento

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

3 min. de leitura

Antes de executar a integração no Now Platform®, conclua estas etapas de instalação e configuração para que a aplicação se integre adequadamente ao Resposta a incidentes de segurançae. Operações de segurançaprodutos em seu Now Platforminstância.

Antes de Iniciar

Função necessária: sn_si.admin

Procedimento

Se você não tiver instalado o. ArcSight ESMaplicação do ServiceNow Storepara a integração, consulte Instale um Operações de segurançaintegraçãoe siga as etapas para instalá-lo.
Depois de instalar a aplicação com sucesso, navegue até Integrações > Configurações de integrações e localize o. ArcSight ESMlado a lado.
Para configurar a aplicação, clique em Novo .
Como alternativa, se for um Configurar é exibido em um bloco, clique nele para editar uma configuração existente.

No formulário, preencha os campos.

Campo	Descrição
Nome	Nome exclusivo para ArcSight ESMGerenciador que será usado na configuração do perfil de integração para distinguir entre vários ArcSight ESMOrigens do gerente, se necessário. Espaços são compatíveis com nomes, mas parênteses não são compatíveis.
URL do endpoint da API ArcSight	URL do ArcSight ESMServidor do gerenciador. Observe que o URL deve incluir a porta da API, por exemplo: `https://arcsight-esm.com:8443`
Nome de usuário da conta da API	Nome de usuário que você criou para sua conta de usuário da API no ArcSight ESMConsole do gerente.
Senha da API	Senha que você criou para sua conta de usuário da API no ArcSight ESMConsole do gerente.
Implantação no Local	O padrão é desmarcado. Se você estiver usando a versão baseada em nuvem de ArcSight ESMQue tenha acesso direto à Internet, verifique se a caixa de seleção está desmarcada. Para uma implantação no local, marque esta caixa de seleção e especifique a aplicação do MID Server.
Aplicação do MID Server	Especifique um nome de aplicação do MID Server aqui. Esta aplicação do MID Server pode apontar para qualquer um dos MID Servers que tenham sido configurados e qualquer MID Server disponível será usado. Se você não tiver uma aplicação do MID Server configurada, você deverá criar uma nova aplicação do MID Server para esta integração. Nota: A aplicação do MID Server pode ser configurada somente por usuários com função de administrador do sistema.

Para criar uma nova aplicação do MID Server, siga estas etapas:

Navegar até Mid Server > Aplicações e clique em Novo .
Insira um nome para a aplicação do MID Server e selecione um MID Server a ser usado como padrão.
Desmarque a caixa de seleção Incluídos na aplicação TUDO e clique em Salvar .
Clique em Editar. Em Editar membros , selecione todos os MID Servers disponíveis, mova-os para a Lista de MID Servers e clique em Salvar .
Os MID Servers selecionados serão listados conforme mostrado abaixo.

Dependendo da disponibilidade, um dos MID Servers configurados com a aplicação do MID Server será usado.

Insira os detalhes da configuração e especifique a aplicação do MID Server que você criou.

Cada evento de correlação que você ingerir do ArcSight ESMO console do gerente requer um perfil de evento exclusivo em sua instância. No entanto, o. ArcSight ESMA origem que você configura no formulário Configuração de ingestão de eventos pode ser reutilizada para vários perfis, desde que cada perfil ingira tipos de evento de correlação exclusivos.
Clique em Enviar.
Cada uma delas é validada e enviada com sucesso ArcSight ESMA configuração do servidor é salva na página Integrações de segurança como um bloco. Se os blocos de configuração salvos não forem exibidos na página Integrações de segurança, no canto superior direito da página, na lista de seleção Mostrar configurações, clique em Sim .

O que Fazer Depois

Você instalou e configurou a aplicação com sucesso. A próxima etapa é criar um perfil de evento.