ElasticSearch Integration の構成と有効化
Elasticsearch は、Security Operations と簡単に統合できる分散型の RESTful 検索および分析エンジンです。
始める前に
Elasticsearch を利用する前に、ServiceNow Store でのダウンロードが必要です。
必要なロール:sn_sec_tisc.admin
- ElasticSearch Integration を利用する前に、脅威インテリジェンスセキュリティセンターのプラグインをインストールしてアクティブ化する必要があります。
- Elasticsearch プロファイルで Elasticsearch API ベース URL、Kibana ベース URL、ユーザー名、パスワードを取得します。
手順
- 自身のインスタンスを使用して、脅威インテリジェンスセキュリティセンターにアクセスします。
- から統合をダウンロードします ServiceNow Store.
- インストールが完了したら、次に移動します: ワークスペース > 脅威インテリジェンスセキュリティセンター.
- 選択 統合 > 拡張統合 > すべての統合.
-
または、 統合 > 拡張統合 > すべての統合 > サイティング検索
注:構成済みの統合が一連のカードとして表示されます。
- Elasticsearch のカードで、[新しい拡張の構成] をクリックして Elasticsearch Integration を構成します。
-
[新しい拡張を構成 (Configure New Enrichment)] フォームのフィールドに入力します。
表 : 1. 拡張統合 フィールド 説明 名前 サイティング検索構成の名前を入力します。 ベンダー名 ベンダーの名前。選択したベンダーの詳細がデフォルトで入力されます。例:「Elasticsearch」など。 統合タイプ 選択した統合のタイプ。例:「脅威のルックアップ」。 説明 ElasticSearch Integration の説明を入力します。例:「Elasticseaarch 拡張統合は、Elasticseaarch 展開でログのクエリをサポートし、観測事象の調査に役立つ」など。 データ連携の構成 Elasticsearch API のベース URL Elasticsearch のサイトから取得したベース URL。 Kibana ベース URL Kibana ベース URL。(オプション) 利用可能な場合、Kibana インスタンスへのリンク。 ユーザー名 Intel Elasticsearch のユーザー名。 パスワード Intel Elasticsearch のパスワード。 Elasticsearch インデックス Elasticsearch インデックス。これらは、各インデックス固有のドキュメントを保持します。インデックスは、検索や削除などの動作を示すアクション名 (小文字)で識別されます。 [日付範囲] フィールド 構成のタイムスタンプ。 最大行数 検索する行の最大行数。 最も早い結果 (日数) 表示する最も早い結果 (日数単位)。 検索結果に生データサンプルを含める サイティング検索結果に生データのサンプルを含めるには、これを選択します。返されるデータの量は、[セキュリティインシデントレスポンス] プロパティの [生データの行数] プロパティの設定によって異なります。 MID サーバー [任意] を選択して、 任意のアクティブな MID サーバーを使用するか、特定の MID サーバー名を選択します。 注:この統合を設定すると、ワークフローが有効になります。ワークフローを管理するには、[ワークフローエディター] に移動します。 -
[保存] をクリックします。
統合の詳細が検証されます。ElasticSearch Integration のステータスはデフォルトで無効になっています。
- [有効化] をクリックして、ElasticSearch Integration を有効化します。
タスクの結果
構成が完了すると、脅威インテリジェンスセキュリティセンターで観測事象のサイティング検索を実行する際に [Elasticsearch] を選択できるようになります。