Splunk Enterprise Event Ingestion Integration für Security Operations Bis ServiceNow

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Die Splunk Enterprise Integration von Ereignis- und Warnungsdaten mit Security Incident Response( SIR) Mit dem Produkt können Security Incident-Analysten Sicherheitsprotokolle und zugehörige Ereignisdaten erfassen und verarbeiten.

    Übersicht

    Daten werden in Echtzeit erfasst und von Analysten verwendet, um potenzielle Cyberbedrohungen zu identifizieren und zu melden. Die gesammelten Sicherheitsereignisse können in ausgelöste Warnungen verarbeitet werden, die mit dieser Integration automatisch erfasst werden. Außerdem können einzelne Sicherheitsereignisse bei Bedarf manuell vom weitergeleitet werden Splunk Enterprise Such- und Berichterstellungsschnittstelle in Security Incident Response Produkt von ServiceNow AI Platform Dient zum Erstellen von Security Incidents. Sie können wichtige Ereignisse aus abrufen Splunk Enterprise Suchen Sie mit der Suchkopf-Clusterkonfiguration. Sie können dies erreichen, indem Sie die URL und den API-Port eines beliebigen Suchkopfs verwenden, der Teil des Clusters ist.

    Diese Integration bietet einem Analysten des Security Operations Center (SOC) Transparenz für Ereignisse und zugehörige Warnungsdaten. Diese Daten können in integriert werden ServiceNow AI Platform Security Incident Response( SIR) Security Incidents zur weiteren Untersuchung und Korrektur. Profile für Splunk Laufende erfasste Warnungen und weitergeleitete Ereignisse werden in erstellt ServiceNow AI Platform Instanz. Diese Profile passen den Unterschied an Splunk Warnungs- und Ereignisfelder werden in angezeigt SIR Security Incidents. Eine Standardzuordnung von Warnungsfeldern wird bereitgestellt, die bearbeitet und erweitert werden kann, um kundenspezifische Anforderungen zu erfüllen.

    Schlüsselfunktionen

    Diese Integration umfasst die folgenden wichtigen Funktionen:

    • Erstellen Sie mehrere Warnungserfassungsprofile, um SIR Security Incidents für bestimmte Arten von Bedrohungen wie Phishing und Malware zu erstellen.
    • Erstellen Sie mehrere Ereignisprofile für die Ereignisweiterleitung bei Bedarf von Ihrem Splunk Konsole zum Erstellen von SIR Security Incidents.
    • Drag-and-Drop-Zuordnung von Splunk Warnungs- und Ereignisfeldwerte zu zugehörigen SIR Security Incident-Feldern.
    • Eine Vorschau von SIR Security Incident-Layout basierend auf Beispielwarnungen oder -Ereignissen zur Validierung der Profilkonfiguration.
    • Erfassen Sie historische Warnungen sowie laufende, zukünftige Warnungen in konfigurierbaren Intervallen.
    • Ereignisse oder Warnungen in vorhandenen aggregieren SIR Security Incidents basierend auf übereinstimmenden Feldwerten, um doppelte Security Incidents zu vermeiden.

    Unterstützt ServiceNow AI Platform Versionen

    Das Plugin „com.snc.si_dep“ ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung von erforderlich sind Security Incident Response Produkt. Installieren und aktivieren Sie dieses Plugin, bevor Sie das andere installieren und aktivieren Security Operations Anwendungen.

    Folgendes Security Operations Anwendungen müssen über installiert und aktiviert werden ServiceNow Store. Installieren und aktivieren Sie jeweils eine Anwendung in der unten aufgeführten Reihenfolge, um eine reibungslose Installation sicherzustellen:
    1. Sicherheits-Integrations-Framework
    2. Security Support Common
    3. Orchestration Des Sicherheitssupports
    4. Security Incident Response

    Weitere Informationen zur Installation von finden Sie Security Operations Kernanwendungen, siehe Berechtigung für abrufen Security Operations Produkt oder Anwendung Und Aktivieren Sie einen ServiceNow Store Anwendung.

    ServiceNow Zusätze

    Die ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Ist nur erforderlich, wenn Sie Ereignisse manuell von Ihrem weiterleiten möchten Splunk Enterprise-Konsole in Ihrem ServiceNow AI Platform Instanz. Dies ServiceNow Add-on ist in verfügbar Splunkbase .

    Dies ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Anwendung in splunkbase ist für die automatisierte Warnungserfassung, die von der Integration unterstützt wird, nicht erforderlich.

    Von Splunk unterstützte Versionen

    Diese Integration unterstützt Version 6,0 oder höher von Splunk Enterprise. Die -Integration unterstützt auch Splunk Enterprise-Cloud-Service.

    MID-Server

    Diese Integration erfordert einen installierten und konfigurierten MID-Server in Ihrem ServiceNow AI Platform® Instanz, die mit verbunden werden soll Splunk Service, wenn Splunk Server wird in Ihrem Unternehmensnetzwerk bereitgestellt. Wenn Sie verwenden Splunk Cloud Service, ein MID-Server ist nicht erforderlich. Weitere Informationen zu MID-Servern finden Sie unter MID-Server .

    Integrationsarchitektur und Systemverbindung

    Weitere Informationen zur Architektur der Integration, einschließlich Schlüsselbegriffen und Verbindungsdetails zu externen Systemen, finden Sie unter Integrationsarchitektur und Verbindung mit externen Systemen für Splunk Enterprise Event Ingestion Integration.

    Prüfliste

    Eine druckbare Prüfliste dieser Themen finden Sie unter Prüfliste für Splunk Enterprise Security Integration der bemerkenswerten Ereigniserfassung. Sie können diese Liste verwenden, um Ihren Fortschritt bei der Bearbeitung der Aufgaben der Integration zu überwachen.

    Die in den folgenden Themen verwendeten Images wurden für das Kingston-Release von generiert ServiceNow AI Platform. Informationen zur San Diego-Anwenderoberfläche finden Sie unter Verwalten Sie Sicherheitsbedrohungen mit dem Sicherheitsanalysten-Arbeitsbereich .

    Die folgenden Themen sind nummeriert. Befolgen Sie die unten aufgeführten Themen in der Reihenfolge, in der sie angezeigt werden, um eine reibungslose Installation und Konfiguration der Anwendung zu gewährleisten.