Splunk Enterprise Event IngestionIntegration für Security OperationsBis ServiceNow

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Die Splunk EnterpriseIntegration von Ereignis- und Warnungsdaten mit Security Incident Response( SIR) Mit dem Produkt können Security Incident-Analysten Sicherheitsprotokolle und zugehörige Ereignisdaten erfassen und verarbeiten.

    Übersicht

    Daten werden in Echtzeit erfasst und von Analysten verwendet, um potenzielle Cyberbedrohungen zu identifizieren und zu melden. Die gesammelten Sicherheitsereignisse können in ausgelöste Warnungen verarbeitet werden, die mit dieser Integration automatisch erfasst werden. Auch einzelne Sicherheitsereignisse können bei Bedarf manuell von weitergeleitet werden Splunk EnterpriseSuch- und Berichterstellungsschnittstelle in Security Incident ResponseProdukt von Now PlatformDient zum Erstellen von Security Incidents. Sie können bedeutende Ereignisse aus abrufen Splunk EnterpriseSuchen Sie mit der Suchkopf-Clusterkonfiguration. Sie können dies erreichen, indem Sie die URL und den API-Port eines beliebigen Suchkopfs verwenden, der Teil des Clusters ist.

    Diese Integration bietet einem Analysten des Security Operations Center (SOC) Transparenz für Ereignisse und zugehörige Warnungsdaten. Diese Daten können in integriert werden Now Platform Security Incident Response( SIR) Security Incidents zur weiteren Untersuchung und Korrektur. Profile für SplunkLaufende erfasste Warnungen und weitergeleitete Ereignisse werden in erstellt Now PlatformInstanz. Diese Profile passen den Unterschied an SplunkWarnungs- und Ereignisfelder werden auf angezeigt SIRSecurity Incidents. Eine Standardzuordnung von Warnungsfeldern wird bereitgestellt, die bearbeitet und erweitert werden kann, um kundenspezifische Anforderungen zu erfüllen.

    Schlüsselfunktionen

    Diese Integration umfasst die folgenden wichtigen Funktionen:

    • Erstellen Sie mehrere Warnungserfassungsprofile, um SIR Security Incidents für bestimmte Arten von Bedrohungen wie Phishing und Malware zu erstellen.
    • Erstellen Sie mehrere Ereignisprofile für die Ereignisweiterleitung bei Bedarf von Ihrem SplunkKonsole zum Erstellen von SIR Security Incidents.
    • Drag-and-Drop-Zuordnung von SplunkWarnungs- und Ereignisfeldwerte zu zugehörigen SIR Security Incident-Feldern.
    • Eine Vorschau von SIRSecurity Incident-Layout basierend auf Beispielwarnungen oder -Ereignissen zur Validierung der Profilkonfiguration.
    • Erfassen Sie historische Warnungen sowie laufende, zukünftige Warnungen in konfigurierbaren Intervallen.
    • Ereignisse oder Warnungen zu vorhandenen aggregieren SIRSecurity Incidents basierend auf übereinstimmenden Feldwerten, um doppelte Security Incidents zu vermeiden.

    Unterstützt Now PlatformVersionen

    Das Plugin „com.snc.si_dep“ ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung von erforderlich sind Security Incident ResponseProdukt. Installieren und aktivieren Sie dieses Plugin, bevor Sie das andere installieren und aktivieren Security OperationsAnwendungen.

    Folgendes Security OperationsAnwendungen müssen über installiert und aktiviert werden ServiceNow Store. Installieren und aktivieren Sie dann jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation sicherzustellen:
    1. Sicherheitsintegrations-Framework
    2. Allgemeiner Sicherheitssupport
    3. Orchestration Des Sicherheitssupports
    4. Security Incident Response

    Weitere Informationen zur Installation von Security OperationsKernanwendungen, siehe Berechtigung für abrufen Security OperationsProdukt oder AnwendungUnd Aktivieren Sie ein ServiceNow StoreAnwendung.

    ServiceNow Zusätze

    Die ServiceNowErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk EnterpriseIst nur erforderlich, wenn Sie Ereignisse manuell von Ihrem weiterleiten möchten Splunk EnterpriseKonsole in Ihr Now PlatformInstanz. Dies ServiceNowAdd-on ist in verfügbar Splunkbase .

    Dies ServiceNowErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk EnterpriseAnwendung in splunkbase ist für die automatisierte Warnungserfassung, die von der Integration unterstützt wird, nicht erforderlich.

    Von Splunk unterstützte Versionen

    Diese Integration unterstützt Version 6,0 oder höher von Splunk Enterprise. Die Integration unterstützt auch SplunkEnterprise-Cloud-Service.

    MID-Server

    Diese Integration erfordert einen installierten und konfigurierten MID-Server in Ihrem Now Platform®Instanz, die mit verbunden werden soll SplunkService, wenn SplunkServer wird in Ihrem Unternehmensnetzwerk bereitgestellt. Wenn Sie verwenden Splunk CloudService, ein MID-Server ist nicht erforderlich. Weitere Informationen zu MID-Servern finden Sie unter MID-Server .

    Integrationsarchitektur und Systemverbindung

    Weitere Informationen zur Architektur der Integration, einschließlich Schlüsselbegriffen und Verbindungsdetails zu externen Systemen, finden Sie unter Integrationsarchitektur und externe Systemverbindung für Splunk Enterprise Event IngestionIntegration.

    Prüfliste

    Eine druckbare Prüfliste dieser Themen finden Sie unter Prüfliste für Splunk Enterprise SecurityIntegration der Erfassung bedeutender Ereignisse. Sie können diese Liste verwenden, um Ihren Fortschritt bei der Bearbeitung der Aufgaben der Integration zu überwachen.

    Die in den folgenden Themen verwendeten Images wurden für das Kingston-Release von generiert Now Platform. Informationen zur San Diego-Anwenderoberfläche finden Sie unter Verwalten Sie Sicherheitsbedrohungen mit dem Arbeitsbereich für Sicherheitsanalysten .

    Die folgenden Themen sind nummeriert. Befolgen Sie die unten aufgeführten Themen in der Reihenfolge, in der sie angezeigt werden, um eine reibungslose Installation und Konfiguration der Anwendung zu gewährleisten.