TISC-Integration mit Splunk
Die Integration zwischen Threat Intelligence-Sicherheitszentrum( TISC) Und Splunk Ermöglicht Anwendern das Filtern und Abrufen relevanter Daten erkennbarer Threat Intelligence-Elemente in Splunk. Innerhalb von Splunk, Die Anwender können diese Daten verwenden, um Sicherheitswarnungen zu generieren.
Erforderliche Rolle: Splunk Administrator
Mit TISC Mit der Add-on-Anwendung können Sie das Intervall konfigurieren, in dem Sie erkennbare Elemente abrufen können ServiceNow TISC Instanz.
Dieses Intervall bestimmt, wie häufig die Anwendung Anforderungen an stellen kann ServiceNow Und rufen Sie die Daten erkennbarer Elemente ab. Außerdem können Sie Filter definieren und anwenden, um die erkennbaren Elemente anzugeben, die Sie aus abrufen möchten ServiceNow TISC Instanz.
Sobald die erkennbaren Elemente aus abgerufen wurden ServiceNow, Die Daten erkennbarer Elemente werden in gespeichert Splunk KV Store (Key-Value Store) und Sie können die Korrelationsregeln weiter über den Satz der erkennbaren Elemente schreiben, die abgerufen wurden.