Splunk Enterprise SecurityEreigniserfassungs-Integration für Security OperationsBis ServiceNow
Die Splunk Enterprise SecurityIntegration der Erfassung bedeutender Ereignisse mit Security Incident Response( SIR) Mit dem Produkt können Security Incident-Analysten Daten zu bedeutenden Ereignissen (bezeichnet als bedeutend) erfassen und verarbeiten.
Übersicht
Daten werden kontinuierlich basierend auf einem konfigurierten Abfragezeitplan erfasst und von Analysten verwendet, um potenzielle Cyberbedrohungen zu identifizieren und darauf zu reagieren. Gesammelte Sicherheitsereignisse können mit bedeutenden Ereignissen in korreliert werden Splunk Enterprise SecurityUnd dann automatisch mit dieser Integration erfasst. Außerdem können einzelne bedeutende Ereignisse bei Bedarf manuell von weitergeleitet werden Splunk Enterprise SecurityIncident-Überprüfungskonsole und Berichterstellungs-Schnittstelle in Security Incident ResponseProdukt von Now PlatformDient zum Erstellen von Security Incidents.
Diese Integration bietet einem Analysten des Security Operations Center (SOC) Transparenz für bedeutende Ereignisse und zugehörige beitragende Ereignisdaten. Diese Daten können in integriert werden Now Platform Security Incident Response( SIR) Security Incidents zur weiteren Untersuchung und Korrektur. Profile werden in erstellt Now PlatformInstanz zur Verarbeitung verschiedener bedeutender Ereignistypen, die über Korrelationssuchen in erstellt werden Splunk Enterprise Security. Diese Profile passen den Unterschied an SplunkEreignisfelder werden auf angezeigt SIRSecurity Incidents.
Schlüsselfunktionen
Diese Integration umfasst die folgenden wichtigen Funktionen:
- Erstellen Sie mehrere Profile zur Erfassung bedeutender Ereignisse, um SIR Security Incidents für bestimmte Arten von Bedrohungen wie Phishing und Malware und nicht autorisierte Zugriffsversuche zu erstellen.
- Erstellen Sie mehrere Ereignisprofile für die Ereignisweiterleitung bei Bedarf von Ihrem Splunk ESIncident-Überprüfungskonsole zum Erstellen von SIR Security Incidents.
- Drag-and-Drop-Zuordnung von SplunkFeldwerte für bedeutendes Ereignis zu zugehörigen SIR Security Incident-Feldern.
- Eine Vorschau von SIRSecurity Incident-Layout basierend auf Beispielereignissen, um Ereigniszuordnungsdetails zu validieren.
- Erfasst historische bedeutende Ereignisse sowie laufende, neue und aktualisierte bedeutende Ereignisse in konfigurierbaren Intervallen.
- Filtern Sie bedeutende Ereignisse heraus, die die SIR-Incident-Generierungskriterien nicht erfüllen, z. B. Ereignisse mit niedriger Priorität, Ereignisse, die noch einen bestimmten Status erreichen müssen usw.
- Ereignisse oder Warnungen zu vorhandenen aggregieren SIRSecurity Incidents basierend auf übereinstimmenden Feldwerten, um doppelte Security Incidents zu vermeiden.
- Aktualisieren Sie bedeutende Ereignisse basierend auf den Erstellungs- und/oder Abschlussbedingungen des SIR-Incidents über eine bidirektionale Schnittstelle, um sie beizubehalten Splunk ESAktualisierungen bedeutender Ereignisse synchron mit ServiceNowSIR-Incident-Status.
Unterstützt Now PlatformVersionen
Das Plugin „com.snc.si_dep“ ist für diese Integration erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung von erforderlich sind Security Incident ResponseProdukt. Installieren und aktivieren Sie dieses Plugin, bevor Sie das andere installieren und aktivieren Security OperationsAnwendungen.
- Sicherheitsintegrations-Framework
- Allgemeiner Sicherheitssupport
- Security Incident Response
Weitere Informationen zur Installation von Security OperationsKernanwendungen, siehe Berechtigung für abrufen Security OperationsProdukt oder AnwendungUnd Aktivieren Sie ein ServiceNow StoreAnwendung.
ServiceNow Zusätze
Die ServiceNowErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk ESIst nur erforderlich, wenn Sie Ereignisse manuell von Ihrem weiterleiten möchten Splunk Enterprise SecurityIncident-Überprüfungskonsole in Ihrem Now PlatformInstanz. Dies ServiceNowAdd-on ist in verfügbar Splunkbase .
Dies ServiceNowErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk EnterpriseAnwendung in splunkbase ist für die automatisierte Warnungserfassung, die von der Integration unterstützt wird, nicht erforderlich.
Von Splunk unterstützte Versionen
Diese Integration wurde mit getestet Splunk EnterpriseVersion 8.0.1 und mit Splunk Enterprise SecurityAnwendungsversion 6,2.1.
MID-Server
Diese Integration erfordert einen installierten und konfigurierten MID-Server in Ihrem Now Platform®Instanz, die mit verbunden werden soll SplunkService, wenn SplunkServer wird in Ihrem Unternehmensnetzwerk bereitgestellt. Wenn Sie verwenden Splunk CloudService, ein MID-Server ist nicht erforderlich. Siehe MID-Server Für weitere Informationen zu MID-Servern.
Referenzen
| Referenz | Dokumentbezeichner | Dokumententitel |
|---|---|---|
| 1 | Splunk Produkt-Website |
Splunk Enterprise Security Produkt-Website . |
Prüfliste
Eine druckbare Prüfliste dieser Themen finden Sie unter Prüfliste für Splunk Enterprise SecurityIntegration der Erfassung bedeutender Ereignisse. Sie können diese Liste verwenden, um Ihren Fortschritt bei der Bearbeitung der Aufgaben der Integration zu überwachen.