ArcSight ESM イベントの取り込み統合のために Now Platform インスタンスを設定

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • 次のセクションでは、ServiceNow Store からアプリケーションをインストールする前に Now Platform® インスタンスで完了する必要があるセットアップタスクを示します。

    始める前に

    必要なロール:admin

    このタスクについて

    スムーズなインストールと構成を行うために、 アプリケーションをダウンロードしてインストールする前に、次のテーブルを参照して、リストされたすべてのタスクを完了していることを確認してください。

    セットアップタスク 説明
    必要な Now Platform® および Security Incident Response (SIR) のロールがアサインされていることを確認します。

    Now Platform® インスタンスで統合をインストール、セットアップ、および使用するには、次のロールが必要です。

    • Now Platform® 管理者 (admin) ロールを持つユーザーが ServiceNow Store からアプリケーションをインストールし、セキュリティインシデント管理者 (sn_si.admin) ロールをアサインします。
    • sn_si.admin ロールを持つユーザーは、Now Platform® で次のタスクを監督します。
      • イベントプロファイルに名前を付け、作成し、編集します。
      • ArcSight ESM 相関イベントから値を選択し、セキュリティインシデントにマップします。
      • 構成を確定する前に、正確性を確認するためにセキュリティインシデントの詳細をプレビューします。
      • 進行中の相関イベント取り込みをスケジュールします。
      • SIR インシデントが作成されてクローズされたときに、相関イベントの更新を有効にします。
      • セキュリティインシデントアナリスト (sn_si.analyst) ロールをアサインします。
      • sn_si.analyst を持つユーザーは、セキュリティインシデントを処理します。

    ロールとユーザーへのロールの割り当ての詳細については、Servicenow 製品ドキュメント Web サイトの「ロール」を参照してください。
    ArcSight ESM Manager のバージョン 7.0.0.2436 以降を使用していることを確認します。以前のバージョンはサポートされていません。 ArcSight ESM クエリビューアーへのアクセス権がある場合は、この統合に必要な API にアクセスできます。API に必要なその他の特別なセットアップはありません。
    ArcSight ESM でクエリビューアーを設定します。 相関イベントを取り込む前に、ArcSight ESM コンソールでクエリビューアーを構成する必要があります。詳細については、「ArcSight ESM クエリビューアーの設定」を参照してください。
    Optional

    ArcSight ESM に相関イベント更新のカスタムステージを作成します。

    		 相関イベントは、クローズされるまでにライフサイクルで多くのステージを通過します。ArcSight ESM は、初期、監視、キューに格納、クローズ済みなどのデフォルトのステージを提供します。これらのステージの中にはユーザー入力が必要なものもありますが、ユーザーの介入なし (ArcSight ESM コンソールで [ユーザーが必要 (User Required)] フィールドはオフ) で自動的にイベントに適用されるステージもあります。

    ユーザーの介入を必要としないカスタムステージを作成し、Now Platform® インスタンスで使用できます。詳細については、「その他のオプション:SIR インシデントステータスに基づく相関イベントの更新とクローズの自動化」を参照してください。
    MID Server アプリケーションがインストールおよび設定されていることを確認します。 設定された MID Server アプリケーション

    ArcSight ESM サーバーが企業ネットワーク内に展開されている場合、 Now Platform® インスタンスの MID Server を ArcSight ESM サービスに接続する必要があります。MID Server アプリケーションの構成方法については、「ArcSight ESM イベント取り込み統合用の ServiceNow アプリケーションのインストールと設定」を参照してください。

    MID Server については、「MID Server」を参照してください。

    ホステッドサービスまたはクラウドサービスを使用している場合、つまりインターネットにアクセスできる場合、MID Server は必要ありません。
    統合用のアプリケーションをインストールする前に、統合をサポートするために必要な ServiceNow コアアプリケーションがインストールされ、アクティブ化されていることを確認します。

    次の Security Operations アプリケーションが、ServiceNow Store からインストールされ、アクティブ化されていることを確認します。インストールされていない場合は、スムーズにインストールできるように、次の順序で一度に 1 つずつアプリケーションをインストールしてアクティブ化します。

    1. Security Incident Response
    2. Security Integration Framework
    3. Security Support Common
    4. Security Operations のイベントとアラートの取り込み:このアプリケーションでは次のものが必要です。
      • com.glide.hub.integration.runtime => ServiceNow IntegrationHub Runtime
      • com.glide.hub.action_step.rest => ServiceNow IntegrationHub Action Step - REST
    5. Threat Core

    Security Operations コアアプリケーションのインストールの詳細については、「Security Operations 製品またはアプリケーションのエンタイトルメントの取得」および「ServiceNow Store アプリケーションのアクティブ化」を参照してください。

    次のタスク

    統合のために Now Platform® インスタンスが正常に設定されました。次のステップでは、統合のために ServiceNow Store から ArcSight ESM Security Event Ingestion for Security Operations アプリケーションをインストールします。