このセクションでは、この統合で使用されるいくつかの重要な用語について説明します。

インストールと構成では、次の重要な用語が使用されます。以下の用語の詳細については、ServiceNow の製品ドキュメント Web サイト、Splunk の Web サイト、および Splunk リソースページのリソースを参照してください。

Now Platform

エンタープライズ ServiceNow 製品。Now Platform をベースとして、セキュリティインシデントレスポンス (SIR)、IT Service Management (ITSM)、およびその他の製品などの個々のコンポーネントがビルドされています。

ServiceNow Splunkbase アドオン

統合の手動イベント転送オプションをサポートする Splunk Enterprise Security コンソールにインストールされている ServiceNow アプリケーションです。手動イベント転送は、統合のオプション機能です。この ServiceNow Splunkbase アドオンは、統合によって提供される Splunk からイベントをプルする自動注目イベントの取り込みには必要ありません。

セキュリティインシデントレスポンス (SIR)

検出と初期分析から、封じ込め、根絶、復旧、および最終的なインシデントの事後レビューとクローズに至るまで、セキュリティインシデントの進捗状況を追跡する Now Platform アプリケーション。

Splunk Enterprise Security

Splunk Enterprise Security は、継続的な監視、インシデント応答、SOC 運用のための組織全体の可視化とセキュリティインテリジェンスを獲得し、エグゼクティブにビジネスリスクに関する窓口を提供するのに役立ちます。Splunk Enterprise Security は有料ライセンスを必要とするプレミアムセキュリティソリューションです。このサービスは、このガイドで Splunk コンソールと呼ばれることがあるホスト上または Splunk クラウドオファリング上にあります。

Splunk Enterprise Security 注目イベント

相関検索でイベントまたはイベントのパターンが識別されると、注目イベントが作成されます。相関検索では、セキュリティデータをフィルタリングし、イベント全体を関連付けて、特定のタイプのインシデント (またはイベントのパターン) を識別して、注目イベントを作成します。

Splunk イベント

Splunk サービスの注目イベントを生じる 1 つ以上のデータ要素。Now Platform インスタンスから、どの Splunk イベントが Now Platform セキュリティインシデントをトリガーしたかを検索できます。

MID サーバー

このアプリケーションは、Now Platform と外部アプリケーション、データソース、サービスの間の通信やデータの移動を容易にします。このアプリケーションは通常、オンプレミステクノロジーとの統合に必要です。この Splunk Enterprise Security イベント取り込み統合のために、MID サーバーは Now Platform と Splunk Enterprise Security のオンプレミスインスタンス間の通信を支援します。Now Platform インスタンスを Splunk Cloud インスタンスと統合する場合、MID サーバーは必要ありません。

セキュリティインシデントアドミン (sn_si.admin)

このロールを持つユーザーは、Now Platform インスタンス内の SIR 製品との統合の構成を監督します。

セキュリティインシデントアナリスト (sn_si.analyst)

このロールを持つユーザーは、ServiceNow セキュリティインシデントレスポンス 製品でセキュリティインシデントに対応し、分析します。