Architecture d’intégration et connexion à des systèmes externes pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • La rubrique suivante décrit l’architecture d’intégration développée pour prendre en charge l’ingestion d’alertes déclenchées à partir de la Splunk Enterprise console. Ces informations clarifient, à un niveau élevé, le fonctionnement conceptuel de l’intégration. Il explique également pourquoi certaines étapes de configuration sont requises avant d’installer l’application à ServiceNow Storepartir du .

    Termes clés utilisés pour cette intégration

    Les termes clés suivants sont utilisés lors de l’installation et de la configuration. Pour plus d’informations sur ces conditions, consultez le site Web de la documentation produit ServiceNow et le site Web et les ressources Splunk sur la page Ressources Splunk .

    Now Platform
    Un produit d’entreprise ServiceNow . Il s’agit Now Platform de la base sur laquelle reposent les composants individuels tels que Réponse aux incidents de sécurité (),SIR IT Service Management (ITSM) et d’autres produits.
    ServiceNow Splunkbase Addon
    Une ServiceNow application installée sur votre Splunk Enterprise console qui prend en charge l’option de transfert manuel d’événements de l’intégration. Le transfert manuel d’événements est une fonctionnalité facultative de l’intégration. Ce ServiceNow module complémentaire Splunkbase n’est pas requis pour l’ingestion automatisée d’alertes fournie par l’intégration.
    Security Incident Response (SIR)
    Application Now Platform qui suit la progression des incidents de sécurité depuis la détection et l’analyse initiale jusqu’à l’examen final et la fermeture en passant par le confinement, l’éradication et la récupération.
    Splunk Enterprise
    Produit ou service cloud automatisé de gestion des événements d’incident de sécurité (SIEM) qui collecte les données utilisées pour l’analyse et la gestion des incidents. Ce service se trouve sur un hôte qui est parfois également appelé Splunk console dans ce guide.
    alerte Splunk
    Une recherche que vous configurez et enregistrez pour Splunk analyser des données spécifiques en fonction des paramètres que vous définissez dans le Splunk Enterprise service. Lorsque vous extrayez des alertes à partir de Splunk, vous extrayez également tous les événements associés à cette alerte.
    Splunk Alerte déclenchée
    Une recherche configurée dans la Splunk Enterprise console qui renvoie des résultats et marque ces résultats comme des alertes déclenchées. Les alertes déclenchées sont ingérées de la Splunk console vers votre Now Platform instance pour cette intégration. Les alertes déclenchées ont un ou plusieurs Splunk événements.
    Splunk événement
    Un ou plusieurs éléments de données qui entraînent les alertes déclenchées du Splunk service. Depuis votre Now Platform instance, vous pouvez rechercher les événements qui Splunk ont déclenché Now Platform des incidents de sécurité.
    Serveur MID
    Cette application facilite la communication et le mouvement des données entre la et les Now Platform applications, sources de données et services externes. Cette application est généralement requise pour l’intégration avec des technologies locales et, pour cette Splunk Enterprise Event Ingestion intégration, le MID Server facilite la communication entre l’instance locale Now Platform et l’instance locale de Splunk Enterprise. Un MID Server n’est pas nécessaire si vous intégrez votre Now Platform instance à une Splunk Cloud instance.
    Administrateur des incidents de sécurité (sn_si.admin)
    L’utilisateur disposant de ce rôle supervise la configuration de l’intégration au SIR produit dans votre Now Platform instance.
    Analyste des incidents de sécurité (sn_si.analyst)
    L’utilisateur disposant de ce rôle interagit avec les incidents de sécurité dans le ServiceNow Réponse aux incidents de sécurité produit et les analyse.

    Connexion à des systèmes externes

    Un profil d’événement est un conteneur que vous créez, nommez et configurez pour une connexion et un appel uniques au service afin d’extraire les alertes déclenchées les plus récentes qui correspondent à Splunk des critères spécifiques. Une fois que les alertes déclenchées correspondant à votre profil ont été extraites de , vous sélectionnez celle que vous souhaitez afficher en tant qu’incident Now Platform Réponse aux incidents de sécurité SIR de Splunksécurité. Une vue par défaut des champs d’alerte Splunk Enterprise est disponible et vous pouvez modifier ce mappage des champs d’alerte sur les champs d’un SIR incident de sécurité pour répondre à vos besoins. Prévisualisez votre mappage pour vérifier que toutes les valeurs de champ d’alerte requises sont renseignées sur l’incident SIR de sécurité. Pour terminer la configuration du profil d’alerte, planifiez la récupération des alertes, puis activez le profil. Une fois que vous avez activé le profil dans , Now Platformvous êtes prêt à ingérer automatiquement les alertes historiques et en cours Splunk .

    En tant qu’utilisateur disposant du rôle sn_si.admin, si vous déterminez qu’une nouvelle alerte déclenchée est similaire aux alertes précédemment ingérées, vous pouvez regrouper les nouvelles alertes déclenchées sur les incidents de sécurité existants SIR . Vous définissez des critères pour spécifier les valeurs de champ cible correspondantes dans le profil d’alerte Splunk Enterprise , qui définissent quand un incident de sécurité existant est mis à jour et quand un nouvel incident de sécurité est créé. Si la fonctionnalité d’agrégation est activée dans votre profil d’événement, lorsque le jeu d’importation est transformé, votre Now Platform instance recherche un enregistrement existant dans la table cible qui a la même valeur dans les champs cible et source. Si un enregistrement existant avec une valeur correspondante dans la table cible est trouvé, cet enregistrement est mis à jour. Si aucun enregistrement correspondant n’est trouvé, un nouvel enregistrement est créé dans la table cible. Si elle est activée, l’option d’agrégation met à jour les incidents de sécurité existants à l’aide de nouvelles alertes déclenchées, et vous évitez de créer plusieurs incidents de sécurité. Pour plus d’informations sur la mise à jour des enregistrements à l’aide des options d’agrégation, consultez Mise à jour des enregistrements à l’aide de la fusion.

    Cette application utilise le Splunk service API pour récupérer des informations à partir Splunk du service. Une connexion HTTPS sortante du MID Server vers cet environnement est nécessaire pour que l’intégration fonctionne correctement.

    Une fois connectée au Splunk service, l’intégration prend en charge l’extraction et l’ingestion des alertes et des événements déclenchés qui déclenchent des incidents de sécurité.

    Le flux de données de base est illustré dans les figures suivantes. Dans chaque figure, votre Now Platform extrait (ingère) des données. Splunk n’envoie pas de données pour les alertes planifiées.

    Figure 1. Connexion à un service d’entreprise sur site Splunk avec unseul serveur MID
    Connexion avec un seul MID Server.
    Figure 2. Connexion à une instance de cloud d’entreprise Splunk
    Configuration deux.
    Figure 3. Plusieurs connexions au service d’entreprise à l’aide Splunk de plusieurs MID Server
    Plusieurs MID Servers.