Configurer TISC le module complémentaire dans Splunk

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 6 minutes de lecture

    • Suivez la procédure ci-dessous pour configurer l’application.

    Avant de commencer

    Rôle requis : Splunk admin

    Pourquoi et quand exécuter cette tâche

    La procédure ci-dessous décrit la configuration du module complémentaire TISC dans Splunk.

    Procédure

    1. Recherchez Centre de sécurité des renseignements sur les menaces pour l’application Splunk dans le volet de navigation de gauche.
    2. Cliquez sur Configurer dans la colonne Actions .
      La page Configuration s’affiche et vous pouvez configurer votre ServiceNow TISC compte.
    3. Sélectionnez Ajouter.
    4. Remplissez les champs du formulaire.
      Champ Description
      Ajouter des comptes
      Nom Nom unique pour le compte.
      Nom d'utilisateur Indiquez le nom d’utilisateur de votre ServiceNow compte. Vous pouvez utiliser le même nom d’utilisateur que celui utilisé pour les utilisateurs qui est créé lors de la création du rôle sn_sec_tisc.api_obs_read_access dans l’étape ci-dessus.
      Mot de passe Fournissez le ServiceNow mot de passe du compte.
      URL d'instance Indiquez l’adresse URL de l’instance ServiceNow .
    5. Cliquez sur Ajouter.
      Le ServiceNow compte d’instance Splunk est ajouté au .
    6. Accédez à la page Entrées pour créer des collections, gérez vos entrées de données pour votre ServiceNow compte.
    7. Cliquez sur Créer une entrée.
      La boîte de dialogue Ajouter une entrée s’affiche pour vous permettre d’ajouter les entrées à votre ServiceNow compte.

      Une fois le jeu d’entrées défini, l’application envoie les informations à l’instance TISC pour récupérer un nombre spécifique d’observables qui répondent aux critères.

    8. Renseignez les détails de l’entrée, le cas échéant.
      Champ Description
      Nom Un nom unique pour votre entrée. Par exemple, la liste d’adresses IP malveillantes.
      Compte Indiquez le nom d’utilisateur de votre ServiceNow compte. Vous pouvez utiliser le même nom d’utilisateur que celui utilisé pour les utilisateurs créés avec le rôle sn_sec_tisc.api_obs_read_access dans l’étape ci-dessus.
      Intervalle Définissez l’intervalle de temps en secondes pour récupérer les données à partir de TISC.
      Période d’expiration (en jours) Option permettant de définir la période d’expiration en jours.
      Remarque :
      La date de péremption de l’échantillon est fixée à 30 jours. Par exemple, lorsque des données sont extraites à une date spécifique, un ensemble de 10 000 enregistrements peut être récupéré. Ces enregistrements seront stockés dans le magasin KV (clé-valeur) au sein de Splunk. À compter de la date d’ingestion, les enregistrements sont conservés pendant 30 jours. Le 31e jour, ils seront automatiquement supprimés de la boutique KV.
      N’expire jamais Choisissez cette option si vous ne souhaitez pas faire expirer les enregistrements ingérés.
      Attributs supplémentaires Vous permet d’ajouter des attributs supplémentaires à partir de la liste des options recommandées à inclure dans le magasin KV. Les attributs doivent être séparés par des virgules.

      Une liste des attributs autorisés est fournie dans la table après la table des attributs obligatoires.
      Filtres Définissez les conditions selon lesquelles les données à importer seront filtrées.

      Pour définir les conditions de filtre, vous pouvez définir les critères en fonction des champs tels que le score de menace, le niveau de fiabilité et le type.

      Pour les conditions de filtre simples, vous pouvez utiliser cette option de filtrage. Toutefois, si les conditions de filtre sont plus complexes et pour tout filtrage avancé, vous pouvez choisir d’ajouter des filtres JSON.
      • Les opérateurs de nombre entier autorisés sont :

        "=", "!=", ">", "<", ">=", "<="

      • Les opérateurs de chaîne autorisés sont les suivants :

        « = », « != », « IN »

      Vous trouverez ci-dessous un exemple de filtre simple :

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON Les filtres basés sur JSON vous permettent de définir des conditions plus complexes. L’état de l’objet JSON doit être actif.

      Cochez la case Filtres JSON pour passer à des filtres avancés où un JSON peut être utilisé pour appliquer une condition de filtre.

      Exemple de filtre avancé :

      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      Remarque :
      Les comptes sont actifs par défaut, mais les entrées sont inactives par défaut, vous devez les activer pour commencer à importer les données. Pour connaître les filtres possibles, reportez-vous à Observable_filters section dans Ajoute des enregistrements sources observables à l’application Centre de sécurité des renseignements sur les menaces (TISC).
    9. Cliquez sur Ajouter pour ajouter les entrées.
    10. Cliquez sur Cloner ou copier pour copier et créer un compte basé sur le compte existant.
      Assurez-vous que l’entrée est désactivée avant le clonage pour éviter de créer des entrées en double lors de l’importation de données à l’aide des mêmes critères.
    11. Une fois les données extraites, les informations suivantes sont récupérées et stockées dans le magasin KV à l’intérieur Splunk , avec les enregistrements extraits de TISC :
      Champ Description
      fiabilité Indique le niveau de fiabilité associé à l’exactitude du score de menace.
      kvlookup_created_time Indique l’heure de création de l’enregistrement dans le magasin de valeurs de clés.
      kvlookup_days_till_expiry Indique le nombre de jours après lesquels l’enregistrement sera supprimé de la boutique KV.
      instance_url Indique l’adresse URL de l’instance ServiceNow .
      réputation Indique la réputation de l’entité impliquée.
      source_reported_score Le score source rapporté à partir de TISC.
      sys_id ID système de l’enregistrement qui arrive.TISC
      threat_level Indique le niveau de gravité de la menace.
      threat_score Score indiquant le niveau de menace associé à un enregistrement.
      threat_severity Indique la gravité de menace de l’observable.
      type Indique le type d’observables.
      updated_by Fournit les informations sur la personne qui a mis à jour l’enregistrement pour la dernière fois.
      kvlookup_updated_time Indique l’horodatage de la dernière mise à jour de l’enregistrement dans le magasin de valeurs clés.
      valide Valeur de l’enregistrement. Par exemple, IP, hachage, etc.
      Tableau 1. Attributs supplémentaires
      Champ Description
      additional_context Fournissez tout contexte supplémentaire, si nécessaire.
      attack_phases Indique les phases d’attaque d’une chaîne de frappe telles que LM, MITRE ATT&CK.
      auteur Indiquez le nom de l’auteur.
      commentaires Ajoutez des commentaires supplémentaires si nécessaire.
       créé(s) Indique quand l’observable a été créé.
      description Fournissez la description.
      expiration_time Spécifie le délai d’expiration de l’enregistrement observable.
      extensions Indique les extensions d’un observable.
      first_observed La première fois que les données ont été observées.
      first_seen Première fois que cet enregistrement a été vu en train d’effectuer des activités malveillantes.
      historically_significant Indique si l’observable est considéré comme historiquement significatif. Ce marqueur système TISC est utilisé pour exclure l’observable de l’archivage.
      id Identificateur unique affecté à l’observable par le système TISC.
      is_defanged Marqueur indiquant si la valeur de l’observable a été neutralisée.
      is_false_positive Marqueur booléen qui indique si l’observable est identifié comme faux positif.
      language Indique la langue du contenu textuel dans cet objet.
      last_observed La dernière fois que les données ont été observées.
      last_seen Heure à laquelle cet objet a été vu pour la dernière fois en train d’effectuer des activités malveillantes.
      notes Ajoutez des notes supplémentaires pour un enregistrement d’observable.
      Numéro Numéro généré par le système affecté à l’observable par TISC.
      security_type Spécifie si l’observable appartient à la liste d’autorisation ou à la liste de refus.
      no_of_sources Représente le nombre de sources uniques qui ont contribué à l’observable.
      sources Spécifie la source de menace à partir de laquelle cet enregistrement est créé.
      état Saisissez l’état de l’observable s’il est actif ou inactif.
      tisc_tags Sélectionnez les balises TISC associées à un observable.
      Taxonomies Sélectionnez la taxonomie associée à un observable.
      Tlp Valeur unique qui indique le paramètre de sensibilité des données par TLP.
      mises à jour Indique quand l’enregistrement observable a été mis à jour pour la dernière fois
      usage_categories Catégories auxquelles appartient l’observable, telles que botnet ou hameçonnage.
      watch_list Marqueur spécifiant si l’observable est inclus dans la liste de surveillance.

      Ces champs, ainsi que tous les autres définis par vos critères, seront disponibles dans Splunk et peuvent être consultés, recherchés et analysés via l’onglet de recherche.