ServiceNow による セキュリティオペレーション 向け Splunk Enterprise Event Ingestion 統合

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:5分

    • Splunk Enterprise イベントとアラートのデータを セキュリティインシデントレスポンス (SIR) 製品に統合すると、セキュリティインシデントアナリストはセキュリティログと関連イベントデータを収集して処理できます。

    Splunk Enterprise Event Ingestion の概要

    データはリアルタイムで収集され、アナリストが潜在的なサイバー脅威を特定して報告するために使用されます。収集されたセキュリティイベントは、この統合で自動的に取り込まれるトリガーされたアラートに処理できます。また、個々のセキュリティイベントを Splunk Enterprise 検索およびレポートインターフェイスから ServiceNow AI Platformセキュリティインシデントレスポンス 製品にオンデマンドで手動転送して、セキュリティインシデントを作成することもできます。検索ヘッドクラスター構成を使用して、Splunk Enterprise 検索から注目イベントを取得できます。これは、クラスターの一部である検索ヘッドの URL と API ポートを使用して行います。

    この統合により、セキュリティオペレーションセンター (SOC) アナリストはイベントと関連アラートデータを表示できます。このデータは、ServiceNow AI Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントに統合して、さらに調査および修復できます。Splunk の進行中の取り込まれたアラートと転送されたイベントのプロファイルが ServiceNow AI Platform のインスタンスに作成されます。これらのプロファイルは、SIR セキュリティインシデントでのさまざまな Splunk アラートとイベントフィールドの表示方法をカスタマイズします。顧客固有のニーズに合わせて編集および拡張できる、アラートフィールドのデフォルトマッピングが提供されます。

    主な機能

    この統合の主な機能は次のとおりです。

    • 複数のアラート取り込みプロファイルを作成して、フィッシングやマルウェアなどの特定のタイプの脅威に対して SIR セキュリティインシデントを作成します。
    • Splunk コンソールからオンデマンドイベント転送用の複数のイベントプロファイルを作成して、SIR セキュリティインシデントを作成します。
    • 関連付けられている SIR セキュリティインシデントフィールドに Splunk アラートフィールド値とイベントフィールド値のマッピングをドラッグアンドドロップします。
    • プロファイル構成を検証するためのサンプルアラートまたはイベントに基いて、SIR セキュリティインシデントレイアウトをプレビューします。
    • 履歴アラームと、構成可能な間隔で進行中の将来のアラームを取り込みます。
    • 一致するフィールド値に基づいて既存の SIR セキュリティインシデントにイベントまたはアラートを集計し、重複するセキュリティインシデントを回避します。

    サポートされている ServiceNow AI Platform のバージョン

    com.snc.si_dep プラグインが必要です。このプラグインは、セキュリティインシデントレスポンス 製品をサポートするために必要なすべての依存関係を自動的にインストールします。他の セキュリティオペレーション アプリケーションをインストールしてアクティブ化する前に、このプラグインをインストールしてアクティブ化します。

    次の セキュリティオペレーション アプリケーションを、ServiceNow Store からインストールしてアクティブ化する必要があります。スムーズにインストールできるように、アプリケーションを次のリストの順番で、一度に 1 つずつインストールしてアクティブ化します。
    1. Security Integration Framework
    2. Security Support Common
    3. セキュリティサポートオーケストレーション
    4. セキュリティインシデントレスポンス

    セキュリティオペレーション コアアプリケーションのインストールの詳細については、「セキュリティオペレーション 製品またはアプリケーションのエンタイトルメントの取得」および「ServiceNow Store アプリケーションのアクティブ化」を参照してください。

    ServiceNow アドオン

    ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise は、Splunk Enterprise コンソールから ServiceNow AI Platform インスタンスに手動でイベントを転送する場合にのみ必要です。この ServiceNow アドオンは splunkbase で入手できます。

    この ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise アプリケーションは、統合でサポートされている自動アラートの取り込みには必要ありません。

    サポートされている Splunk バージョン

    この統合は Splunk Enterprise バージョン 6.0 以降でサポートされています。統合は、Splunk Enterprise クラウドサービスもサポートしています。

    MID サーバー

    Splunk サーバーが企業ネットワーク内に展開されている場合、この統合では、ServiceNow AI Platform® インスタンスにインストールされ、構成された MID サーバーを Splunk サービスに接続する必要があります。Splunk Cloud サービスを使用している場合、MID サーバーは必要ありません。MID サーバーの詳細については、「MID サーバー」を参照してください。

    統合アーキテクチャとシステム接続

    重要な用語や外部システム接続の詳細など、統合のアーキテクチャの詳細については、「Splunk Enterprise Event Ingestion 統合の統合アーキテクチャと外部システム接続」を参照してください。

    チェックリスト

    これらのトピックの印刷可能なチェックリストについては、「Splunk Enterprise Security注目イベントの取り込み統合のチェックリスト」を参照してください。このリストを使用して、進捗を監視しながら、統合のタスクを進めることができます。

    次のトピックで使用する画像は、ServiceNow AI Platform の Kingston リリース用に生成されたものです。San Diego のユーザーインターフェイスについては、「Manage security threats using the Security Analyst Workspace (Security Analyst Workspace を使用したセキュリティ脅威の管理)」を参照してください。

    次のトピックには番号が付けられています。アプリケーションのインストールと設定をスムーズに行えるように、以下のトピックを記載されている順に実行してください。