In diesem Abschnitt werden einige der wichtigsten in dieser Integration verwendeten Begriffe beschrieben.

Die folgenden Schlüsselbegriffe werden während der Installation und Konfiguration von verwendet. Weitere Informationen zu diesen Begriffen finden Sie auf der Website mit der Produktdokumentation von ServiceNow sowie auf der Splunk-Website und auf der Seite „Splunk-Ressourcen“.

Now Platform

Ein Produkt des Unternehmens ServiceNow. Now Platform ist die Basis, auf der einzelne Komponenten wie Security Incident Response (SIR), IT Service Management (ITSM) und andere -Produkte aufbauen.

ServiceNow Splunkbase-Add-on

Eine ServiceNow -Anwendung, die auf Ihrer Splunk Enterprise Security -Konsole installiert ist und die manuelle Ereignisweiterleitungsoption der Integration unterstützt. Die manuelle Ereignisweiterleitung ist eine optionale Funktion der Integration. Das Splunkbase-Add-on ServiceNow ist nicht für die automatisierte Erfassung wichtiger Ereignisse erforderlich, die von der Integration bereitgestellt wird, die Ereignisse aus Splunkabruft.

Security Incident Response (SIR)

Eine Anwendung Now Platform, die den Fortschritt von Security Incidents von der Discovery und der ersten Analyse über die Eindämmung, Beseitigung und Wiederherstellung bis hin zur abschließenden Überprüfung und Schließung nach Incident verfolgt.

Splunk Enterprise Security

Splunk Enterprise Security hilft Teams, unternehmensweite Transparenz und Sicherheitsinformationen für die kontinuierliche Überwachung, die Reaktion auf Incidents und den SOC-Vorgang zu gewinnen, und bietet Führungskräften Einblicke in Geschäftsrisiken. Splunk Enterprise Security ist eine Premium-Sicherheitslösung, die eine kostenpflichtige Lizenz erfordert. Dieser Service befindet sich auf einem Host oder einem Splunk-Cloud-Angebot, das in diesem Handbuch als Splunk -Konsole bezeichnet wird.

Splunk Enterprise Security Bemerkenswertes Ereignis

Wenn eine Korrelationssuche ein Ereignis oder ein Ereignismuster identifiziert, erstellt sie ein beachtenswertes Ereignis. Korrelationssuchen filtern die Sicherheitsdaten und korrelieren ereignisübergreifend, um einen bestimmten Typ von Incident (oder ein bestimmtes Muster von Ereignissen) zu identifizieren. Anschließend werden nennenswerte Ereignisse erstellt.

Splunk Termin

Mindestens ein Datenelement, das zu den beachtenswerten Ereignissen des Service Splunk führt. In Ihrer Instanz Now Platform können Sie nachschlagen, welche Splunk Ereignisse die Security Incidents Now Platform vom Typ ausgelöst haben.

MID-Server

Diese Anwendung erleichtert die Kommunikation und das Verschieben von Daten zwischen Now Platform und externen Anwendungen, Datenquellen und Services. Diese Anwendung ist in der Regel für die Integration mit lokalen Technologien erforderlich, und für diese Splunk Enterprise Security Integration der Ereigniserfassung erleichtert der MID-Server die Kommunikation zwischen Now Platform und der lokalen Instanz von Splunk Enterprise Security. Ein MID-Server ist nicht erforderlich, wenn Sie Ihre Now Platform -Instanz mit einer Splunk Cloud -Instanz integrieren.

Security Incident-Administrator (sn_si.admin)

Der Benutzer mit dieser Rolle überwacht die Konfiguration der Integration mit dem Produkt SIR in Ihrer Instanz Now Platform.

Security Incident-Analyst (sn_si.analyst)

Der Benutzer mit dieser Rolle interagiert mit Security Incidents im Produkt ServiceNow Security Incident Response und analysiert sie.