Splunk Enterprise Security Integration der Ereigniserfassung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Die Splunk Enterprise Security Integration der bemerkenswerten Ereigniserfassung mit Security Incident Response( SIR) Mit dem Produkt können Security Incident-Analysten wichtige Ereignisdaten erfassen und verarbeiten (als beachtliche Ereignisse bezeichnet).

    Übersicht über Splunk Enterprise Security Integration der Ereigniserfassung

    Daten werden kontinuierlich basierend auf einem konfigurierten Abfragungsplan erfasst und von Analysten verwendet, um potenzielle Cyberbedrohungen zu identifizieren und darauf zu reagieren. Gesammelte Sicherheitsereignisse können in zu bedeutenden Ereignissen korreliert werden Splunk Enterprise Security Und wird dann automatisch mit dieser Integration erfasst. Außerdem können einzelne wichtige Ereignisse bei Bedarf manuell vom weitergeleitet werden Splunk Enterprise Security Incident-Überprüfungskonsole und Berichterstellungsschnittstelle in die Security Incident Response Produkt von ServiceNow AI Platform Dient zum Erstellen von Security Incidents.

    Diese Integration bietet einem Analysten des Security Operations Center (SOC) Einblick in wichtige Ereignisse und zugehörige beitragende Ereignisdaten. Diese Daten können in integriert werden ServiceNow AI Platform Security Incident Response( SIR) Security Incidents zur weiteren Untersuchung und Korrektur. Profile werden in erstellt ServiceNow AI Platform Instanz zur Verarbeitung verschiedener wichtiger Ereignistypen, die über Korrelationssuchen in erstellt werden Splunk Enterprise Security. Diese Profile passen den Unterschied an Splunk Ereignisfelder werden in angezeigt SIR Security Incidents.

    Schlüsselfunktionen

    Diese Integration umfasst die folgenden wichtigen Funktionen:

    • Erstellen Sie mehrere wichtige Ereigniserfassungsprofile, um SIR Security Incidents für bestimmte Arten von Bedrohungen wie Phishing und Malware und nicht autorisierte Zugriffsversuche zu erstellen.
    • Erstellen Sie mehrere Ereignisprofile für die Ereignisweiterleitung bei Bedarf von Ihrem Splunk ES Incident-Überprüfungskonsole zum Erstellen von SIR Security Incidents.
    • Drag-and-Drop-Zuordnung von Splunk Wichtige Ereignisfeldwerte zu zugehörigen SIR Security Incident-Feldern.
    • Eine Vorschau von SIR Security Incident-Layout basierend auf Beispielereignissen zur Validierung der Ereigniszuordnungsdetails.
    • Erfassen Sie wichtige historische Ereignisse sowie laufende, neue und aktualisierte wichtige Ereignisse in konfigurierbaren Intervallen.
    • Filtern Sie wichtige Ereignisse heraus, die die SIR-Incident-Generierungskriterien nicht erfüllen, z. B. Ereignisse mit niedriger Priorität, Ereignisse, die noch einen bestimmten Status erreichen müssen usw.
    • Ereignisse oder Warnungen in vorhandenen aggregieren SIR Security Incidents basierend auf übereinstimmenden Feldwerten, um doppelte Security Incidents zu vermeiden.
    • Aktualisieren Sie wichtige Ereignisse basierend auf SIR-Incident-Erstellungs- und/oder Abschlussbedingungen über eine bidirektionale Schnittstelle, um sie beizubehalten Splunk ES Wichtige Ereignisaktualisierungen werden synchronisiert mit aktualisiert ServiceNow SIR-Incident-Status.

    Unterstützt ServiceNow AI Platform Versionen

    Das Plugin com.snc.si_dep ist für diese Integration erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung von erforderlich sind Security Incident Response Produkt. Installieren und aktivieren Sie dieses Plugin, bevor Sie das andere installieren und aktivieren Security Operations Anwendungen.

    Folgendes Security Operations Anwendungen müssen über installiert und aktiviert werden ServiceNow Store. Installieren und aktivieren Sie jeweils eine Anwendung in der unten aufgeführten Reihenfolge, um eine reibungslose Installation sicherzustellen:
    1. Sicherheits-Integrations-Framework
    2. Security Support Common
    3. Security Incident Response

    Weitere Informationen zur Installation von finden Sie Security Operations Kernanwendungen, siehe Berechtigung für abrufen Security Operations Produkt oder Anwendung Und Aktivieren Sie einen ServiceNow Store Anwendung.

    ServiceNow Zusätze

    Die ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk ES Ist nur erforderlich, wenn Sie Ereignisse manuell von Ihrem weiterleiten möchten Splunk Enterprise Security Incident-Überprüfungskonsole in Ihrem ServiceNow AI Platform Instanz. Dies ServiceNow Add-on ist in verfügbar Splunkbase .

    Dies ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Anwendung in splunkbase ist für die automatisierte Warnungserfassung, die von der Integration unterstützt wird, nicht erforderlich.

    Von Splunk unterstützte Versionen

    Diese Integration wurde mit getestet Splunk Enterprise Version 8.0.1 und mit Splunk Enterprise Security Anwendungsversion 6,2.1.

    MID-Server

    Diese Integration erfordert einen installierten und konfigurierten MID-Server in Ihrem ServiceNow AI Platform® Instanz, die mit verbunden werden soll Splunk Service, wenn Splunk Server wird in Ihrem Unternehmensnetzwerk bereitgestellt. Wenn Sie verwenden Splunk Cloud Service, ein MID-Server ist nicht erforderlich. Siehe MID-Server Weitere Informationen zu MID-Servern.

    Referenzen

    Referenz Dokumentbezeichner Dokumententitel
    1

    Splunk Produkt-Website

    		 Splunk Enterprise Security-Produkt-Website .

    Prüfliste

    Eine druckbare Prüfliste dieser Themen finden Sie unter Prüfliste für Splunk Enterprise Security Integration der bemerkenswerten Ereigniserfassung. Sie können diese Liste verwenden, um Ihren Fortschritt bei der Bearbeitung der Aufgaben der Integration zu überwachen.