Configurar TISC complemento em Splunk

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 5 min. de leitura

    • Configure o. TISC complemento em Splunk Para conectar sua conta, defina entradas de dados e extraia registros observáveis para o armazenamento de KV para pesquisa e análise.

    Antes de Iniciar

    Função necessária: administrador do Splunk

    Por Que e Quando Desempenhar Esta Tarefa

    . TISC o complemento conecta seu ServiceNow conta para Splunk E extrai registros observáveis para o armazenamento de KV.

    Procedimento

    1. Pesquisar Central de segurança de inteligência contra ameaças para Splunk app na navegação à esquerda.
    2. Selecione Configurar em Ações coluna.
      . Configuração é exibida e você pode configurar seu ServiceNow TISC conta.
    3. Selecione Adicionar.
    4. No formulário, preencha os campos.
      Campo Descrição
      Adicionar Contas
      Nome Um nome exclusivo para a conta.
      Nome de usuário . ServiceNow nome de usuário da conta. Você pode usar o mesmo nome de usuário criado durante a criação da função [ sn_sec_tisc.api_obs_read_access ] na etapa anterior.
      Senha . ServiceNow senha da conta.
      URL da instância . ServiceNow URL da instância.
    5. Selecione Adicionar.
      . ServiceNow a conta de instância foi adicionada ao Splunk.
    6. Navegue até Entradas página para gerenciar suas entradas de dados para o. ServiceNow conta.
    7. Selecione Criar entrada .
      . Adicionar entrada a caixa de diálogo é exibida para você adicionar as entradas ao seu ServiceNow conta. Depois que o conjunto de entradas é definido, a aplicação envia as informações para o. TISC instância para recuperar um número específico de observáveis que atendem aos critérios.
    8. Preencha os detalhes de entrada, conforme apropriado.
      Campo Descrição
      Nome Um nome exclusivo para sua entrada. Por exemplo, lista de IPs mal-intencionados.
      Conta . ServiceNow nome de usuário da conta. Você pode usar o mesmo nome de usuário criado com a função sn_sec_tisc.api_obs_read_access na etapa anterior.
      Intervalo Defina o intervalo de tempo em segundos para recuperar os dados TISC.
      Período de vencimento (em dias) Opção para definir o período de expiração em dias.
      Nota:
      A expiração da amostra é definida como 30 dias. Por exemplo, quando os dados são extraídos em uma data específica, um conjunto de 10 000 registros pode ser recuperado. Esses registros são armazenados no armazenamento de KV (chave-valor) em Splunk. A partir da data de ingestão, os registros são retidos por 30 dias. No 31º dia, eles são excluídos automaticamente do armazenamento do KV.
      Nunca expirar Escolha esta opção se você não quiser expirar os registros ingeridos.
      Atributos Adicionais Atributos adicionais da lista de opções recomendadas a serem incluídos no armazenamento de KV. Os atributos devem ser separados por vírgulas.

      Uma lista de atributos permitidos é fornecida na tabela após a tabela Atributos obrigatórios.
      Filtros Condições que determinam quais dados são importados e filtrados.

      Para definir as condições do filtro, você pode definir os critérios com base nos campos, como pontuação de ameaça, nível de confiança e tipo.

      Para condições simples, use esta opção de filtragem. Para condições complexas, adicione filtros JSON.
      • Os operadores inteiros permitidos são:

        "=", "!=", ">", "<", ">=", "<="

      • Os operadores de cadeia de caracteres permitidos são:

        "", "!", "EM"

      Exemplo de um filtro simples:

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON Filtros baseados em JSON para definir condições mais complexas.
      Filtro avançado de amostra:
      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      Nota:
      As contas estão ativas por padrão, mas as entradas estão inativas por padrão. Ative entradas para iniciar a importação de dados. Para obter possíveis filtros, consulte a seção observable_filters em Adiciona registros de origem observáveis à Central de segurança de inteligência contra ameaças (TISC) aplicação.
    9. Selecione Adicionar para salvar as entradas.
    10. Selecione Clone para copiar e criar uma conta com base na conta existente.
      Desative a entrada antes de copiar para evitar a criação de entradas duplicadas ao importar dados usando os mesmos critérios.
    11. Revise as informações recuperadas e armazenadas no armazenamento de KV em Splunk junto com os registros extraídos de TISC.
      Campo Descrição
      confiança Indica o nível de confiança associado à precisão da pontuação de ameaça.
      [kvlookup_created_time] Indica a hora de criação do registro no armazenamento de valor de chave.
      [kvlookup_days_till_expiration] Indica o número de dias antes que o registro seja excluído do armazenamento do KV.
      instance_url Indica o. ServiceNow URL da instância.
      reputação Indica a reputação da entidade envolvida.
      source_reported_score A pontuação de origem relatada de TISC.
      sys_id SYS ID do registro de TISC.
      threat_level Indica o nível de gravidade da ameaça.
      threat_score A pontuação que indica o nível de ameaça associada a um registro.
      threat_severity Indica a gravidade da ameaça do observável.
      tipo Indica o tipo de observáveis.
      atualizado_por O usuário que atualizou o registro pela última vez.
      kvlookup_updated_time Indica o carimbo de data/hora em que o registro foi atualizado pela última vez no armazenamento de valor de chave.
      valor Valor do registro. Por exemplo, endereço IP, hash e valores semelhantes.
      Tabela 1. Atributos Adicionais
      Campo Descrição
      adicional_context Qualquer contexto adicional para o observável.
      attack_phases Indica fases de ataque em uma cadeia de destruição, como LM, MITRE ATT&CK.
      autor Nome do autor.
      comentários Quaisquer comentários adicionais para o observável.
      created Indica quando o observável foi criado.
      descrição Descrição do observável.
      expiration_time Especifica o tempo de expiração do registro observável.
      extensões Indica as extensões de um observável.
      first_observed A primeira vez em que os dados foram observados.
      first_seen A primeira vez em que este registro foi visto realizando atividades maliciosas.
      historicamente_significativo Indica se o observável é considerado historicamente significativo. Isso TISC o sinalizador do sistema é usado para excluir o observável do arquivamento.
      ID Identificador exclusivo atribuído ao observável pelo TISC sistema.
      _defanged Sinalizador que indica se o valor do observável foi depurado.
      é_falso_positivo Sinalizador booliano que indica se um observável é identificado como falso positivo.
      idioma Indica o idioma do conteúdo de texto neste objeto.
      last_observed A última hora em que os dados foram observados.
      last_seen A hora em que este objeto foi visto pela última vez executando atividades mal-intencionadas.
      Anotações Quaisquer anotações adicionais para o registro do observável.
      número Número gerado pelo sistema atribuído ao observável por TISC.
      security_type Especifica se o observável pertence à Lista de permissões ou à Lista de proibições.
      _de_origens Representa o número de fontes exclusivas que contribuíram para o observável.
      origens Especifica a origem da ameaça a partir da qual este registro é criado.
      status Status do observável: Ativo ou inativo.
      tisc_tags . TISC marcadores associados ao observável.
      taxonomias A taxonomia associada ao observável.
      tlp Valor exclusivo que indica a configuração de confidencialidade de dados por TLP.
      atualizado Indica quando o registro do observável foi atualizado pela última vez
      usage_categories Categorias nas quais o observável se enquadra, como botnet ou phishing.
      watch_list Sinalizador que especifica se o observável está incluído na lista de observação.

      , esses campos, juntamente com quaisquer outros definidos por seus critérios, estarão disponíveis em Splunk e podem ser exibidos, pesquisados e analisados por meio da guia de pesquisa.