In diesem Abschnitt werden einige der Schlüsselbegriffe beschrieben, die in dieser Integration verwendet werden.

Die folgenden Schlüsselbegriffe werden während der Installation und Konfiguration verwendet. Weitere Informationen zu diesen Begriffen finden Sie unter ServiceNow-Produktdokumentationswebsite Und Splunk-Website Und -Ressourcen auf Splunk-Ressourcen Seite.

ServiceNow AI Platform

Ein Unternehmen ServiceNow Produkt. Die ServiceNow AI Platform Ist die Basis, auf der einzelne Komponenten wie basieren Security Incident Response( SIR), IT Service Management (ITSM) und andere Produkte werden erstellt.

ServiceNow Splunkbase-Add

A ServiceNow Anwendung, die auf installiert ist Splunk Enterprise Security Konsole, die die manuelle Ereignisweiterleitungsoption der Integration unterstützt. Die manuelle Ereignisweiterleitung ist eine optionale Funktion der Integration. Dies ServiceNow Das Splunkbase-Add-on ist für die automatisierte Erfassung bedeutender Ereignisse nicht erforderlich, die von der Integration bereitgestellt wird, aus der Ereignisse abgerufen werden Splunk.

Security Incident Response (SIR)

A ServiceNow AI Platform Anwendung, die den Fortschritt von Security Incidents von der Erkennung und ersten Analyse über die Eindämmung, Beseitigung und Wiederherstellung bis hin zur endgültigen Überprüfung und Schließung von Security Incidents nachverfolgt.

Splunk Enterprise Security

Splunk Enterprise Security Hilft Teams, organisationsweite Transparenz und Security Intelligence für kontinuierliche Überwachung, Reaktion auf Incidents, SOC-Vorgänge zu erhalten und Führungskräften ein Fenster in das Geschäftsrisiko zu bieten. Splunk Enterprise Security Ist eine Premium-Sicherheitslösung, die eine kostenpflichtige Lizenz erfordert. Dieser Service befindet sich auf einem Host oder einem Splunk-Cloud-Angebot, das als bezeichnet wird SplunkKonsole in diesem Handbuch.

Splunk Enterprise Security Bemerkenswertes Ereignis

Wenn eine Korrelationssuche ein Ereignis oder ein Muster von Ereignissen identifiziert, wird ein bemerkenswertes Ereignis erstellt. Korrelationssuchen filtern die Sicherheitsdaten und korrelieren über Ereignisse hinweg, um einen bestimmten Incident-Typ (oder ein Muster von Ereignissen) zu identifizieren, und erstellen dann wichtige Ereignisse.

Splunk Termin

Ein oder mehrere Datenelemente, die zu den bedeutenden Ereignissen von führen Splunk Service. Von Ihrem ServiceNow AI Platform Instanz können Sie nachschlagen, welche Splunk Ereignisse ausgelöst ServiceNow AI Platform Security Incidents.

MID-Server

Diese Anwendung erleichtert die Kommunikation und das Verschieben von Daten zwischen ServiceNow AI Platform Und externe Anwendungen, Datenquellen und Services. Diese Anwendung ist normalerweise für die Integration mit lokalen Technologien und erforderlich Splunk Enterprise Security Integration der Ereigniserfassung erleichtert der MID-Server die Kommunikation zwischen ServiceNow AI Platform Und die lokale Instanz von Splunk Enterprise Security. Ein MID-Server ist nicht erforderlich, wenn Sie Ihren integrieren ServiceNow AI Platform Instanz mit Splunk Cloud Instanz.

Security Incident-Administrator (sn_si.admin)

Der Anwender mit dieser Rolle überwacht die Konfiguration der Integration mit SIR Produkt in Ihrem ServiceNow AI Platform Instanz.

Security Incident-Analyst (sn_si.Analyst)

Der Anwender mit dieser Rolle interagiert mit Security Incidents in und analysiert sie ServiceNow Security Incident Response Produkt.