Configure e habilite a integração do Elasticsearch

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • O Elasticsearch é um mecanismo distribuído de pesquisa e análise RESTful que se integra facilmente às Operações de segurança.

    Antes de Iniciar

    Para poder usar o Elasticsearch, você deve baixá-lo na ServiceNow Store.

    Função necessária: sn_sec_tisc.admin

    • O plug-in Central de segurança de inteligência contra ameaças deve ser instalado e ativado antes que você possa usar a integração do Elasticsearch.
    • Obtenha o URL base da API Elasticsearch, o URL base do Kibana, o nome de usuário e a senha no seu perfil do Elasticsearch.

    Procedimento

    1. Usando sua instância, acesse Central de segurança de inteligência contra ameaças .
    2. Baixe a integração do ServiceNow Store.
    3. Quando a instalação estiver concluída, navegue até Espaços > Central de segurança de inteligência contra ameaças.
    4. Selecionar Integrações > Integrações de aprimoramento > Todas as integrações.
    5. Como alternativa, você pode navegar até Integrações > Integrações de aprimoramento > Todas as integrações > Pesquisa de Vistas
      Nota:
      As integrações configuradas aparecem como uma série de cartões.
    6. Em Elasticsearch cartão, clique em Configurar novo aprimoramento para configurar Elasticsearch integração.
    7. Preencha os campos no formulário Configurar novo aprimoramento.
      Tabela 1. Integração de aprimoramento
      Campo Descrição
      Nome Insira um nome para a configuração de pesquisa de detecções.
      Nome do fornecedor Nome do fornecedor Os detalhes do fornecedor selecionado são preenchidos por padrão. Por exemplo, Elasticsearch.
      Tipo de Integração Tipo de integração que você selecionou. Por exemplo, Pesquisa de ameaças.
      Descrição Insira a descrição da integração do Elasticsearch. Por exemplo, a integração de aprimoramento do Elasticsearch ajuda na investigação de um observável, oferecendo suporte à consulta de logs em sua implantação do Elasticsearch.
      Configuração de integração
      URL base da API Elasticsearch O URL base adquirido no site do Elasticsearch.
      URL base do Kibana O URL base do Kibana. [Opcional] Links para uma instância do Kibana, quando disponível.
      Nome do usuário Seu nome de usuário do Elasticsearch Intel.
      Senha Sua senha do Intel Elasticsearch.
      Índice do Elasticsearch O índice do Elasticsearch. Estes, por sua vez, manterão documentos que são exclusivos para cada índice. Os índices são identificados por nomes minúsculos que se referem a ações que são ações executadas (como pesquisar e excluir).
      Campo do intervalo de datas O carimbo de data/hora da configuração.
      Máx. de Linhas O número máximo de linhas que você deseja pesquisar.
      Resultado Mais Antigo (dias) Os primeiros resultados que você deseja ver em número de dias.
      Incluir amostras de dados brutos nos resultados da pesquisa Selecione esta opção para incluir amostras de dados brutos nos resultados da pesquisa de detecções. A quantidade de dados retornados depende da sua configuração na propriedade Número de linhas da propriedade de dados brutos em Propriedades de resposta a incidentes de segurança .
      MID Server Selecione Qualquer para usar qualquer MID Server ativo ou selecione um nome de MID Server específico.
      Nota:
      A configuração desta integração ativa fluxos de trabalho. Para gerenciar os fluxos de trabalho, navegue até o Editor de fluxo de trabalho.
    8. Clique em Salvar.
      Os detalhes da integração são validados e, por padrão, o status da integração do Elasticsearch é desabilitado.
    9. Clique em Habilitar Para habilitar a integração do Elasticsearch.

    Resultado

    Depois de configurado, o Elasticsearch pode ser selecionado para executar a pesquisa de detecções em observáveis na Central de segurança de Inteligência contra ameaças.