Splunk Enterprise SecurityEreigniserfassungs-Integration für Security OperationsBis ServiceNow

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer
  • Die Splunk Enterprise SecurityIntegration der Erfassung bedeutender Ereignisse mit Security Incident Response( SIR) Mit dem Produkt können Security Incident-Analysten Daten zu bedeutenden Ereignissen (bezeichnet als bedeutend) erfassen und verarbeiten.

    Übersicht

    Daten werden kontinuierlich basierend auf einem konfigurierten Abfragezeitplan erfasst und von Analysten verwendet, um potenzielle Cyberbedrohungen zu identifizieren und darauf zu reagieren. Gesammelte Sicherheitsereignisse können mit bedeutenden Ereignissen in korreliert werden Splunk Enterprise SecurityUnd dann automatisch mit dieser Integration erfasst. Außerdem können einzelne bedeutende Ereignisse bei Bedarf manuell von weitergeleitet werden Splunk Enterprise SecurityIncident-Überprüfungskonsole und Berichterstellungs-Schnittstelle in Security Incident ResponseProdukt von Now PlatformDient zum Erstellen von Security Incidents.

    Diese Integration bietet einem Analysten des Security Operations Center (SOC) Transparenz für bedeutende Ereignisse und zugehörige beitragende Ereignisdaten. Diese Daten können in integriert werden Now Platform Security Incident Response( SIR) Security Incidents zur weiteren Untersuchung und Korrektur. Profile werden in erstellt Now PlatformInstanz zur Verarbeitung verschiedener bedeutender Ereignistypen, die über Korrelationssuchen in erstellt werden Splunk Enterprise Security. Diese Profile passen den Unterschied an SplunkEreignisfelder werden auf angezeigt SIRSecurity Incidents.

    Schlüsselfunktionen

    Diese Integration umfasst die folgenden wichtigen Funktionen:

    • Erstellen Sie mehrere Profile zur Erfassung bedeutender Ereignisse, um SIR Security Incidents für bestimmte Arten von Bedrohungen wie Phishing und Malware und nicht autorisierte Zugriffsversuche zu erstellen.
    • Erstellen Sie mehrere Ereignisprofile für die Ereignisweiterleitung bei Bedarf von Ihrem Splunk ESIncident-Überprüfungskonsole zum Erstellen von SIR Security Incidents.
    • Drag-and-Drop-Zuordnung von SplunkFeldwerte für bedeutendes Ereignis zu zugehörigen SIR Security Incident-Feldern.
    • Eine Vorschau von SIRSecurity Incident-Layout basierend auf Beispielereignissen, um Ereigniszuordnungsdetails zu validieren.
    • Erfasst historische bedeutende Ereignisse sowie laufende, neue und aktualisierte bedeutende Ereignisse in konfigurierbaren Intervallen.
    • Filtern Sie bedeutende Ereignisse heraus, die die SIR-Incident-Generierungskriterien nicht erfüllen, z. B. Ereignisse mit niedriger Priorität, Ereignisse, die noch einen bestimmten Status erreichen müssen usw.
    • Ereignisse oder Warnungen zu vorhandenen aggregieren SIRSecurity Incidents basierend auf übereinstimmenden Feldwerten, um doppelte Security Incidents zu vermeiden.
    • Aktualisieren Sie bedeutende Ereignisse basierend auf den Erstellungs- und/oder Abschlussbedingungen des SIR-Incidents über eine bidirektionale Schnittstelle, um sie beizubehalten Splunk ESAktualisierungen bedeutender Ereignisse synchron mit ServiceNowSIR-Incident-Status.

    Unterstützt Now PlatformVersionen

    Das Plugin „com.snc.si_dep“ ist für diese Integration erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung von erforderlich sind Security Incident ResponseProdukt. Installieren und aktivieren Sie dieses Plugin, bevor Sie das andere installieren und aktivieren Security OperationsAnwendungen.

    Folgendes Security OperationsAnwendungen müssen über installiert und aktiviert werden ServiceNow Store. Installieren und aktivieren Sie dann jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation sicherzustellen:
    1. Sicherheitsintegrations-Framework
    2. Allgemeiner Sicherheitssupport
    3. Security Incident Response

    Weitere Informationen zur Installation von Security OperationsKernanwendungen, siehe Berechtigung für abrufen Security OperationsProdukt oder AnwendungUnd Aktivieren Sie ein ServiceNow StoreAnwendung.

    ServiceNow Zusätze

    Die ServiceNowErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk ESIst nur erforderlich, wenn Sie Ereignisse manuell von Ihrem weiterleiten möchten Splunk Enterprise SecurityIncident-Überprüfungskonsole in Ihrem Now PlatformInstanz. Dies ServiceNowAdd-on ist in verfügbar Splunkbase .

    Dies ServiceNowErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk EnterpriseAnwendung in splunkbase ist für die automatisierte Warnungserfassung, die von der Integration unterstützt wird, nicht erforderlich.

    Von Splunk unterstützte Versionen

    Diese Integration wurde mit getestet Splunk EnterpriseVersion 8.0.1 und mit Splunk Enterprise SecurityAnwendungsversion 6,2.1.

    MID-Server

    Diese Integration erfordert einen installierten und konfigurierten MID-Server in Ihrem Now Platform®Instanz, die mit verbunden werden soll SplunkService, wenn SplunkServer wird in Ihrem Unternehmensnetzwerk bereitgestellt. Wenn Sie verwenden Splunk CloudService, ein MID-Server ist nicht erforderlich. Siehe MID-Server Für weitere Informationen zu MID-Servern.

    Referenzen

    Referenz Dokumentbezeichner Dokumententitel
    1

    Splunk Produkt-Website

    Splunk Enterprise Security Produkt-Website .

    Prüfliste

    Eine druckbare Prüfliste dieser Themen finden Sie unter Prüfliste für Splunk Enterprise SecurityIntegration der Erfassung bedeutender Ereignisse. Sie können diese Liste verwenden, um Ihren Fortschritt bei der Bearbeitung der Aufgaben der Integration zu überwachen.