TISC-Integration mit Splunk
Die Integration zwischen Threat Intelligence-Sicherheitszentrum(TISC) und SplunkErmöglicht Anwendern das Filtern und Abrufen relevanter Daten erkennbarer Threat Intelligence-Elemente Splunk. Innerhalb von Splunk, Die Anwender können diese Daten verwenden, um Sicherheitswarnungen zu generieren.
Erforderliche Rolle: Splunk-Administrator
Mit der Add-on-Anwendung TISC können Sie das Intervall konfigurieren, in dem Sie erkennbare Elemente abrufen können ServiceNowTISC-Instanz.
Dieses Intervall bestimmt, wie häufig die Anwendung Anforderungen stellen kann ServiceNowUnd rufen Sie die Daten erkennbarer Elemente ab. Außerdem können Sie Filter definieren und anwenden, um die erkennbaren Elemente anzugeben, die Sie aus abrufen möchten ServiceNowTISC-Instanz.
Sobald die erkennbaren Elemente abgerufen wurden ServiceNow, Die Daten der erkennbaren Elemente werden im Splunk-KV-Speicher (Schlüssel-Wert-Speicher) gespeichert, und Sie können die Korrelationsregeln weiter über den Satz der eingerufenen erkennbaren Elemente schreiben.