ArcSight ESM Integração de ingestão de evento

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • . ArcSight ESM integração de ingestão de evento com Resposta a incidentes de segurança o produto permite que os analistas de incidentes de segurança coletem eventos correlacionados e automatizem a criação de incidentes de segurança com o. ServiceNow plataforma. Os dados são ingeridos continuamente com base em uma programação de pesquisa configurada e são usados por analistas para identificar e responder a possíveis ameaças à segurança cibernética.

    Com essa integração, eventos correlacionados que são candidatos a incidentes de segurança podem ser ingeridos periodicamente. Você pode mapear campos em eventos correlacionados para campos de incidente de segurança, visualizar a configuração de um evento como um incidente de segurança e configurar a ingestão programada de eventos para criar incidentes de segurança automaticamente continuamente.

    Visão geral de ArcSight ESM Integração de ingestão de evento

    Esta integração fornece a um analista do SOC (Security Operations Center, centro de operações de segurança) visibilidade para eventos de correlação em ArcSight ESM. Esses dados podem ser integrados ao ServiceNow AI Platform Incidentes de segurança de Resposta a incidentes de segurança (SIR) para investigação e correção adicionais. Os perfis são criados em seu ServiceNow AI Platform instância para lidar com diferentes tipos de evento de correlação que são criados e disponibilizados por meio de visualizadores de consulta de correlação em ArcSight ESM. Esses perfis personalizam a diferença ArcSight ESM Campos de evento correlacionados são exibidos em incidentes de segurança SIR.

    Principais recursos

    Esta integração inclui os seguintes recursos principais:
    • Crie vários perfis de ingestão de eventos para criar SIR incidentes de segurança para tipos específicos de ameaças, como malware e tentativas de acesso não autorizado.
    • Mapeamento de arrastar e soltar de ArcSight ESM valores de campo de evento de correlação a associados SIR campos de incidente de segurança.
    • Uma visualização do SIR layout de incidente de segurança com base em exemplos de eventos de correlação para validar detalhes de mapeamento de eventos.
    • Ingerir eventos de correlação históricos, bem como novos eventos notáveis em intervalos configuráveis.
    • Filtre eventos de correlação que não atendem SIR critérios de geração de incidentes, por exemplo, eventos de baixa prioridade
    • Agregar eventos aos existentes SIR incidentes de segurança com base em valores de campo correspondentes para evitar incidentes de segurança duplicados.
    • Atualizar eventos de correlação com base em SIR criação de incidentes e/ou condições de fechamento por meio de uma interface bidirecional.

    Versões da ServiceNow AI Platform compatíveis

    Esta integração é compatível com o New York Patch 6 e Orlando ServiceNow AI Platform versões.

    As seguintes aplicações de Operações de segurança devem ser instaladas e ativadas a partir do ServiceNow Store. Instale e ative um aplicativo de cada vez na ordem listada abaixo para garantir uma instalação tranquila:

    1. Framework de integração de segurança
    2. Security Support Common
    3. Resposta a incidentes de segurança
    4. Ingestão de evento e alerta para operações de segurança
    5. Plug-ins do Hub de integração
      1. Tempo de execução do hub de integração da ServiceNow
      2. Etapa de ação do hub de integração da ServiceNow - REST

    Para obter mais informações sobre como instalar o. Operações de segurança aplicações principais, consulte Obtenha direito para um Operações de segurança produto ou aplicação e. Ativar um ServiceNow Store aplicação.

    ArcSight ESM versões compatíveis

    Esta integração foi testada com a versão 7.0.0.2436 do ArcSight ESM Gerente. A integração oferece suporte a ambos ArcSight ESM Ambientes de serviço no local e em nuvem/hospedado.

    MID Server

    Esta integração requer um MID Server instalado e configurado em seu ServiceNow AI Platform® instância para se conectar ao ArcSight ESM serviço quando ArcSight ESM o servidor está implantado em sua rede corporativa. Se você estiver usando ArcSight ESM Um MID Server não é necessário. Consulte Site de documentação do produto da ServiceNow Para obter mais informações sobre MID Servers.

    Referências

    Referência Identificador do documento Título do documento
    1 ArcSight ESM documentação do produto Documentação do produto ArcSight .
    2 ServiceNow Site de documentação do produto Site de documentação do produto da ServiceNow