Architecture d’intégration et connexion de systèmes externes pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • La rubrique suivante décrit l’architecture d’intégration développée pour prendre en charge l’ingestion des alertes déclenchées à partir de la Splunk Enterprise console. Ces informations clarifient, à un niveau élevé, le fonctionnement conceptuel de l’intégration. Cela explique également pourquoi des étapes de configuration sont nécessaires avant d’installer l’application à partir du ServiceNow Store.

    Termes clés utilisés pour cette intégration

    Les termes clés suivants sont utilisés lors de l’installation et de la configuration. Pour plus d’informations sur ces termes, consultez le site Web de la documentation produit ServiceNow et le site Web et les ressources de Splunk sur la page Ressources Splunk .

    Now Platform
    Un produit d’entreprise ServiceNow . Il Now Platform s’agit de la base sur laquelle reposent les composants individuels tels que Réponse aux incidents de sécurité (SIR), IT Service Management (ITSM) et d’autres produits.
    ServiceNow Module complémentaire Splunkbase
    Une ServiceNow application installée sur votre Splunk Enterprise console qui prend en charge l’option de transfert manuel d’événements de l’intégration. Le transfert manuel d’événements est une fonctionnalité facultative de l’intégration. Ce ServiceNow module complémentaire Splunkbase n’est pas requis pour l’ingestion d’alerte automatisée fournie par l’intégration.
    Réponse aux incidents de sécurité (SIR)
    Une Now Platform application qui suit la progression des incidents de sécurité depuis la découverte et l’analyse initiale, en passant par le confinement, l’éradication et la récupération, jusqu’à la revue et la fermeture finales post-incident.
    Splunk Enterprise
    Produit SIEM (Gestion automatisée des événements d’incident de sécurité) ou service dans le cloud qui collecte les données utilisées pour l’analyse et la gestion des incidents. Ce service est sur un hôte qui est parfois également appelé Splunk console dans ce guide.
    alerte Splunk
    Une recherche que vous configurez et enregistrez pour Splunk rechercher des données spécifiques en fonction des paramètres que vous avez configurés dans le Splunk Enterprise service. Lorsque vous extrayez des alertes de Splunk, vous extrayez également tous les événements associés à cette alerte.
    Splunk Alerte déclenchée
    Recherche configurée dans la Splunk Enterprise console qui renvoie des résultats et les marque comme alertes déclenchées. Les alertes déclenchées sont ingérées depuis la Splunk console dans votre Now Platform instance pour cette intégration. Les alertes déclenchées ont un ou Splunk plusieurs événements.
    Splunk événement
    Un ou plusieurs éléments de données qui entraînent le déclenchement des alertes du Splunk service. Dans votre Now Platform instance, vous pouvez rechercher quels Splunk événements ont déclenché Now Platform des incidents de sécurité.
    Serveur MID
    Cette application facilite la communication et le mouvement de données entre les applications, les sources de données et les Now Platform services externes. Cette application est généralement requise pour l’intégration avec les technologies sur site. Pour cette Splunk Enterprise Event Ingestion intégration, le Serveur MID facilite la communication entre l’instance Now Platform et l’instance sur site de Splunk Enterprise. Un serveur MID n’est pas nécessaire si vous intégrez votre Now Platform instance à une Splunk Cloud instance.
    Administrateur d’incidents de sécurité (sn_si.admin)
    L’utilisateur disposant de ce rôle supervise la configuration de l’intégration avec le SIR produit dans votre Now Platform instance.
    Analyste des incidents de sécurité (sn_si.analyst)
    L’utilisateur disposant de ce rôle interagit avec les incidents de sécurité du ServiceNow Réponse aux incidents de sécurité produit et les analyse.

    Connexion aux systèmes externes

    Un profil d’événement est un conteneur que vous créez, nommez et configurez pour Splunk une connexion et un appel uniques au service afin d’extraire les alertes déclenchées les plus récentes qui correspondent à des critères spécifiques. Une fois que les alertes déclenchées correspondant à votre profil ont été extraites de , vous sélectionnez celle que vous souhaitez afficher en tant Now Platform Réponse aux incidents de sécurité SIR qu’incident de Splunksécurité. Une vue par défaut des champs d’alerte Splunk Enterprise est disponible, et vous pouvez modifier ce mappage des champs d’alerte sur les champs d’un SIR incident de sécurité pour répondre à vos besoins. Vous prévisualisez votre mappage pour vérifier que toutes les valeurs de champ d’alerte requises sont renseignées sur l’incident SIR de sécurité. Pour terminer la configuration du profil d’alerte, vous planifiez la récupération des alertes, puis activez le profil. Après avoir activé le profil dans le Now Platform, vous êtes prêt à ingérer automatiquement les alertes historiques et en cours Splunk .

    En tant qu’utilisateur disposant du rôle sn_si.admin, si vous déterminez qu’une nouvelle alerte déclenchée est similaire aux alertes précédemment ingérées, vous pouvez regrouper les nouvelles alertes déclenchées aux incidents de sécurité existants SIR . Vous définissez des critères pour spécifier les valeurs de champ cible correspondantes dans le profil d’alerte Splunk Enterprise qui définissent quand un incident de sécurité existant est mis à jour et quand un nouvel incident de sécurité est créé. Si la fonctionnalité d’agrégation est activée dans votre profil d’événement, lorsque le jeu d’importation est transformé, votre Now Platform instance recherche un enregistrement existant dans la table cible ayant la même valeur dans les champs cible et source. Si un enregistrement existant avec une valeur correspondante dans la table cible est trouvé, cet enregistrement est mis à jour. Si aucun enregistrement correspondant n’est trouvé, un nouvel enregistrement est créé dans la table cible. Si elle est activée, l’option d’agrégation met à jour les incidents de sécurité existants avec de nouvelles alertes déclenchées, et vous évitez de créer plusieurs incidents de sécurité. Pour plus d’informations sur la mise à jour des enregistrements à l’aide des options d’agrégation, voir Mise à jour des enregistrements à l’aide de la coalescence.

    Cette application utilise le service d’API Splunk pour récupérer des informations à partir du Splunk service. Une connexion HTTPS sortante du serveur MID vers cet environnement est nécessaire pour que l’intégration fonctionne correctement.

    Une fois connectée au Splunk service, l’intégration prend en charge l’extraction et l’ingestion d’alertes et d’événements déclenchés qui déclenchent des incidents de sécurité.

    Le flux de données de base est illustré dans les figures suivantes. Dans chaque figure, votre Now Platform extrait (ingère) des données. Splunk n’envoie pas de données pour les alertes planifiées.

    Figure 1. Connexion à un service d’entreprise sur site Splunk avec un seul serveur MID
    Connexion avec un seul serveur MID.
    Figure 2. Connexion à une Splunk instance de cloud d’entreprise
    Configuration deux.
    Figure 3. Plusieurs connexions au Splunk service d’entreprise à l’aide de plusieurs serveurs MID
    Plusieurs MID Servers.