Splunk Enterprise Event Ingestion intégration pour Security Operations par ServiceNow
L’intégration Splunk Enterprise des données d’événements et d’alertes Réponse aux incidents de sécurité au produit (SIR) permet aux analystes des incidents de sécurité de collecter et de traiter les journaux de sécurité et les données d’événements connexes.
Vue d'ensemble
Les données sont collectées en temps réel et utilisées par les analystes pour identifier et signaler les cybermenaces potentielles. Les événements de sécurité collectés peuvent être transformés en alertes déclenchées qui sont ingérées automatiquement avec cette intégration. En outre, les événements de sécurité individuels peuvent être transférés manuellement à la demande à partir de l’interface Splunk Enterprise de recherche et de génération de rapports vers le Réponse aux incidents de sécurité produit de pour Now Platform créer des incidents de sécurité. Vous pouvez récupérer des événements notables à partir de la recherche avec la configuration de la grappe de têtes de Splunk Enterprise recherche. Pour ce faire, utilisez l’URL et le port d’API de n’importe quelle tête de recherche faisant partie du cluster.
Cette intégration permet à un analyste du centre des opérations de sécurité (SOC) d’avoir une visibilité sur les événements et les données d’alerte associées. Ces données peuvent être intégrées dans Now Platform Réponse aux incidents de sécurité (SIR) des incidents de sécurité à des fins d’investigation et de correction plus approfondies. Des profils pour Splunk les alertes ingérées en cours et les événements transférés sont créés dans votre Now Platform instance. Ces profils personnalisent le mode d’affichage des différents Splunk champs d’alerte et d’événement sur SIR les incidents de sécurité. Un mappage par défaut des champs d’alerte est fourni, qui peut être modifié et complété pour répondre aux besoins spécifiques du client.
Fonctionnalités principales
Cette intégration comprend les fonctionnalités clés suivantes :
- Créez plusieurs profils d’ingestion d’alertes pour créer des incidents de sécurité SIR pour des types de menaces spécifiques, comme le hameçonnage et les programmes malveillants.
- Créez plusieurs profils d’événement pour le transfert d’événements à la demande à partir de votre Splunk console afin de créer des incidents de sécurité SIR.
- Glisser-déposer le mappage des valeurs de champ d’alerte et d’événement Splunk vers les champs d’incident de sécurité SIR associés.
- Aperçu de la mise en page de l’incident de sécurité basé sur des exemples d’alertes ou d’événements pour valider la SIR configuration du profil.
- Ingérer les alertes historiques, ainsi que les alertes futures en cours à des intervalles configurables.
- Regroupez les événements ou les alertes pour les incidents de sécurité existants SIR en fonction des valeurs de champ correspondantes afin d’éviter les incidents de sécurité en double.
Versions prises en charge Now Platform
Le module d’extension com.snc.si_dep est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Security Operations applications.
- Cadre de travail des intégrations de sécurité
- Security Support Common
- Orchestration du support de sécurité
- Réponse aux incidents de sécurité
Pour plus d’informations sur l’installation des Security Operations applications principales, reportez-vous aux sections Obtenir une autorisation pour un produit ou une Security Operations application et Activer une ServiceNow Store application.
ServiceNow Addons
Le ServiceNow module complémentaire d’ingestion d’événements de Security Operations n’est Splunk Enterprise requis que si vous préférez transférer manuellement les événements de votre Splunk Enterprise console vers votre Now Platform instance. Cet ServiceNow addon est disponible dans splunkbase.
Ce ServiceNow module complémentaire d’ingestion d’événements Security Operations pour Splunk Enterprise l’application dans splunkbase n’est pas requis pour l’ingestion automatisée d’alertes prise en charge par l’intégration.
Versions prises en charge par Splunk
Cette intégration prend en charge la version 6.0 ou ultérieure de Splunk Enterprise. L’intégration prend également en charge le Splunk service Enterprise Cloud.
Serveur MID
Cette intégration nécessite l’installation et la configuration d’un MID Server dans votre Now Platform® instance pour se connecter au Splunk service si le Splunk serveur est déployé au sein de votre réseau d’entreprise. Si vous utilisez le Splunk Cloud service, un MID Server n’est pas nécessaire. Pour plus d’informations sur les MID Servers, consultez Serveur MID.
Architecture d’intégration et connexion des systèmes
Pour plus d’informations sur l’architecture de l’intégration, y compris les termes clés et les détails de connexion aux systèmes externes, consultez Architecture d’intégration et connexion à des systèmes externes pour l’intégration Splunk Enterprise Event Ingestion.
Liste de vérification
Pour obtenir une liste de contrôle imprimable de ces rubriques, reportez-vous à la section Liste de vérification pour l’intégration de l’ingestion d’événements Splunk Enterprise Security notables. Vous pouvez utiliser cette liste pour surveiller votre progression au fur et à mesure que vous travaillez sur les tâches de l’intégration.
Les images utilisées dans les rubriques suivantes ont été générées pour la version Kingston du Now Platform. Pour plus d’informations sur l’interface utilisateur de San Diego, consultez Gérer les menaces de sécurité à l’aide de Security Analyst Workspace.
Les sujets suivants sont numérotés. Suivez les rubriques énumérées ci-dessous dans l’ordre dans lequel elles sont présentées pour une installation et une configuration fluides de l’application.