Schlüsselbegriffe, die für diese Integration verwendet werden

Die folgenden Schlüsselbegriffe werden während der Installation und Konfiguration verwendet. Weitere Informationen zu diesen Bedingungen finden Sie unter ServiceNow-Produktdokumentationswebsite Und Splunk-Website Und Ressourcen auf Splunk-Ressourcen Seite.

Now Platform

Ein Unternehmen ServiceNowProdukt. Die Now PlatformIst die Basis, auf der einzelne Komponenten wie Security Incident Response( SIR), IT Servicemanagement (ITSM) und andere Produkte werden erstellt.

ServiceNow Splunkbase-Add

A ServiceNowAnwendung, die auf installiert ist Splunk EnterpriseKonsole, die die manuelle Ereignisweiterleitungsoption der Integration unterstützt. Die manuelle Ereignisweiterleitung ist eine optionale Funktion der Integration. Dies ServiceNowSplunkbase-Add-on ist für die automatisierte Warnungserfassung, die von der Integration bereitgestellt wird, nicht erforderlich.

Antwort auf Security Incidents (SIR)

A Now PlatformAnwendung, die den Fortschritt von Security Incidents von der Discovery und ersten Analyse über die Eindämmung, Beseitigung und Wiederherstellung bis hin zur endgültigen Überprüfung und Schließung von Security Incidents nachverfolgt.

Splunk Enterprise

Ein Produkt oder Cloud-Service für das automatisierte Security Incident Event Management (SIEM), der Daten erfasst, die für die Analyse und Verwaltung von Incidents verwendet werden. Dieser Service befindet sich auf einem Host, der manchmal auch als bezeichnet wird SplunkKonsole in diesem Handbuch.

Splunk Warnung

Eine Suche, die Sie konfigurieren und in der speichern SplunkDient zum Scannen nach bestimmten Daten basierend auf den Parametern, die Sie in eingerichtet haben Splunk EnterpriseService. Wenn Sie Warnungen aus abrufen Splunk, Sie rufen auch alle Ereignisse ab, die dieser Warnung zugeordnet sind.

Splunk Ausgelöste Warnung

Eine konfigurierte Suche in Splunk EnterpriseKonsole, die Ergebnisse zurückgibt und diese Ergebnisse als ausgelöste Warnungen kennzeichnet. Die ausgelösten Warnungen werden von erfasst SplunkKonsole in Ihr Now PlatformInstanz für diese Integration. Ausgelöste Warnungen haben mindestens eine SplunkEreignisse.

Splunk Ereignis

Mindestens ein Datenelement, das zu den ausgelösten Warnungen von führt SplunkService. Von Ihrem Now PlatformInstanz können Sie suchen, welche SplunkEreignisse ausgelöst Now PlatformSecurity Incidents.

MID-Server

Diese Anwendung erleichtert die Kommunikation und das Verschieben von Daten zwischen Now PlatformUnd externe Anwendungen, Datenquellen und Services. Diese Anwendung ist normalerweise für die Integration mit lokalen Technologien und erforderlich Splunk Enterprise Event IngestionIntegration erleichtert der MID-Server die Kommunikation zwischen Now PlatformUnd die lokale Instanz von Splunk Enterprise. Bei der Integration von ist kein MID-Server erforderlich Now PlatformInstanz mit Splunk CloudInstanz.

Security Incident-Administrator (sn_si.admin)

Der Anwender mit dieser Rolle überwacht die Konfiguration der Integration mit SIRProdukt in Ihrem Now PlatformInstanz.

Security Incident-Analyst (sn_si.Analyst)

Der Anwender mit dieser Rolle interagiert mit Security Incidents in und analysiert sie ServiceNow Security Incident ResponseProdukt.

Verbindung mit externen Systemen

Ein Ereignisprofil ist ein Container, den Sie für eine singuläre Verbindung und einen Aufruf an erstellen, benennen und konfigurieren SplunkService zum Abrufen der aktuell ausgelösten Warnungen, die bestimmten Kriterien entsprechen. Nachdem ausgelöste Warnungen abgerufen wurden, die Ihrem Profil entsprechen Splunk, Wählen Sie aus, welche dieser Warnungen als angezeigt werden sollen Now Platform Security Incident Response SIRSecurity Incident. Eine Standardansicht von Splunk EnterpriseWarnungsfelder sind verfügbar, und Sie bearbeiten diese Zuordnung von Warnungsfeldern zu den Feldern in einem SIRSecurity Incident, der Ihren Anforderungen entspricht. Sie zeigen eine Vorschau Ihrer Zuordnung an, um sicherzustellen, dass alle erforderlichen Warnungsfeldwerte auf ausgefüllt sind SIRSecurity Incident. Um die Konfiguration des Warnungsprofils abzuschließen, planen Sie den Abruf von Warnungen und aktivieren dann das Profil. Nachdem Sie das Profil in aktiviert haben Now Platform, Sie sind bereit, historische und laufende Aufnahmen zu erfassen SplunkWarnungen automatisch.

Wenn Sie als Anwender mit der Rolle „sn_si.admin“ feststellen, dass eine neue ausgelöste Warnung den zuvor erfassten Warnungen ähnelt, können Sie neue ausgelöste Warnungen zu vorhandenen aggregieren SIRSecurity Incidents. Sie legen Kriterien fest, um übereinstimmende Zielfeldwerte in anzugeben Splunk EnterpriseWarnungsprofil, das definiert, wann ein vorhandener Security Incident aktualisiert und wann ein neuer Security Incident erstellt wird. Wenn die Zusammenfassungsfunktion in Ihrem Ereignisprofil aktiviert ist und der Importsatz umgewandelt wird, ist Ihr Now PlatformDie Instanz sucht nach einem vorhandenen Datensatz in der Zieltabelle, der denselben Wert in den Ziel- und Quellfeldern hat. Wenn ein vorhandener Datensatz mit einem übereinstimmenden Wert in der Zieltabelle gefunden wird, wird dieser Datensatz aktualisiert. Wenn kein übereinstimmender Datensatz gefunden wird, wird ein neuer Datensatz in der Zieltabelle erstellt. Wenn diese Option aktiviert ist, aktualisiert die Zusammenfassungsoption vorhandene Security Incidents mit neuen ausgelösten Warnungen, und Sie vermeiden, mehrere Security Incidents zu erstellen. Weitere Informationen zum Aktualisieren von Datensätzen mithilfe von Zusammenfassungsoptionen finden Sie unter Datensätze werden mit Zusammenfügung aktualisiert .

Diese Anwendung verwendet SplunkAPI-Service zum Abrufen von Informationen von SplunkService. Eine ausgehende HTTPS-Verbindung vom MID-Server zu dieser Umgebung ist erforderlich, damit die Integration ordnungsgemäß funktioniert.

Nachdem es mit verbunden wurde SplunkService unterstützt die Integration das Abrufen und Erfassen ausgelöster Warnungen und Ereignisse, die Security Incidents auslösen.

Der Basisdaten-Flow wird in den folgenden Abbildungen dargestellt. In jeder Abbildung ist Ihr Now PlatformRuft Daten ab (erfasst). SplunkVerschiebt keine Daten für geplante Warnungen.