ArcSight ESMIngestão de evento para Operações de segurançaintegração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura
  • . ArcSight ESMintegração de ingestão de eventos com o. Resposta a incidentes de segurançao produto permite que os analistas de incidentes de segurança coletem eventos correlacionados e automatizem a criação de incidentes de segurança com o. ServiceNowplataforma. Os dados são ingeridos continuamente com base em um cronograma de pesquisa configurado e são usados por analistas para identificar e responder a possíveis ameaças à segurança cibernética.

    Com essa integração, eventos correlacionados que são candidatos a incidentes de segurança podem ser ingeridos periodicamente. Você pode mapear campos em eventos correlacionados para campos de incidente de segurança, visualizar a configuração de um evento como incidente de segurança e configurar a ingestão agendada de eventos para criar incidentes de segurança automaticamente continuamente.

    Visão geral

    Esta integração fornece a um analista do centro de operações de segurança (SOC) visibilidade para eventos de correlação em ArcSight ESM. Esses dados podem ser integrados em Now PlatformIncidentes de segurança de Resposta a incidentes de segurança (SIR) para investigação e correção adicionais. Os perfis são criados em Now Platforminstância para lidar com diferentes tipos de evento de correlação que são criados e disponibilizados por meio de visualizadores de consulta de correlação em ArcSight ESM. Esses perfis personalizam a diferença ArcSight ESMOs campos de evento correlacionados são exibidos em incidentes de segurança DE SIR.

    Principais recursos

    Esta integração inclui os seguintes recursos principais:
    • Crie vários perfis de ingestão de eventos para criar SIRincidentes de segurança para tipos específicos de ameaças, como malware e tentativas de acesso não autorizado.
    • Mapeamento de arrastar e soltar de ArcSight ESMvalores de campo de evento de correlação para associados SIRcampos de incidente de segurança.
    • Uma visualização do SIRlayout de incidente de segurança com base em eventos de correlação de amostra para validar detalhes de mapeamento de eventos.
    • Ingerir eventos de correlação histórica, bem como novos eventos notáveis em intervalos configuráveis.
    • Filtre os eventos de correlação que não atendem SIRcritérios de geração de incidentes, por exemplo, eventos de baixa prioridade
    • Eventos agregados aos existentes SIRincidentes de segurança com base em valores de campo correspondentes para evitar incidentes de segurança duplicados.
    • Atualizar eventos de correlação com base em SIRcondições de criação e/ou fechamento de incidentes por meio de uma interface bidirecional.

    Versões da Now Platform compatíveis

    Esta integração é compatível com as versões New York Patch 6 e Orlando Now Platform.

    As seguintes aplicações de Operações de segurança devem ser instaladas e ativadas no ServiceNow Store. Instale e, em seguida, ative uma aplicação de cada vez na ordem listada abaixo para garantir uma instalação tranquila:

    1. Estrutura de integração de segurança
    2. Suporte de segurança comum
    3. Resposta a incidentes de segurança
    4. Ingestão de evento e alerta para operações de segurança
    5. Plug-ins do hub de integração
      1. Tempo de execução do hub de integração da ServiceNow
      2. Etapa de ação do hub de integração da ServiceNow - REST

    Para obter mais informações sobre como instalar o. Operações de segurançaaplicações principais, consulte Obter direito para um Operações de segurançaproduto ou aplicaçãoe. Ative um ServiceNow Storeaplicação.

    ArcSight ESM versões compatíveis

    Esta integração foi testada com a versão 7.0.0.2436 do ArcSight ESMGerente. A integração é compatível com ambos ArcSight ESMAmbientes de serviço no local e na nuvem/hospedado.

    MID Server

    Esta integração requer um MID Server instalado e configurado em seu Now Platform®instância para se conectar ao ArcSight ESMserviço quando ArcSight ESMo servidor está implantado em sua rede corporativa. Se você estiver usando o. ArcSight ESMUm MID Server não é necessário. Consulte Site de documentação do produto ServiceNow Para obter mais informações sobre MID Servers.

    Referências

    Referência Identificador do documento Título do Documento
    1 ArcSight ESM documentação do produto Documentação do produto ArcSight .
    2 ServiceNow Site de documentação do produto Site de documentação do produto ServiceNow