Splunk Enterprise Security integração de ingestão de eventos para Security Operations por ServiceNow

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • A integração de ingestão de eventos notáveis Splunk Enterprise Security com o produto Security Incident Response (SIR) permite que os analistas de incidentes de segurança coletem e processem dados de eventos notáveis (conhecidos como notáveis).

    Visão geral

    Os dados são ingeridos continuamente com base em uma programação de pesquisa configurada e são usados pelos analistas para identificar e responder a possíveis ameaças cibernéticas. Os eventos de segurança coletados podem ser correlacionados em eventos notáveis em Splunk Enterprise Security e ingeridos automaticamente com esta integração. Além disso, eventos notáveis individuais podem ser encaminhados manualmente sob demanda do console de análise de incidentes Splunk Enterprise Security e da interface de relatório para o produto Security Incident Response do Now Platform para criar incidentes de segurança.

    Esta integração fornece a um analista do centro de operações de segurança (SOC) visibilidade de eventos notáveis e dados de evento de contribuição relacionados. Esses dados podem ser integrados em Now Platform Security Incident Response (SIR) incidentes de segurança para investigação e correção adicionais. Os perfis são criados na sua instância Now Platform para lidar com diferentes tipos de evento notáveis que são criados por meio de pesquisas de correlação em Splunk Enterprise Security. Esses perfis personalizam como diferentes Splunk campos de evento são exibidos em SIR incidentes de segurança.

    Principais recursos

    Esta integração inclui os seguintes recursos principais:

    • Crie vários perfis de ingestão de eventos notáveis para criar incidentes de segurança SIR para tipos específicos de ameaças, como phishing e malware e tentativas de acesso não autorizado.
    • Crie vários perfis de evento para encaminhamento de eventos sob demanda do console de revisão de incidentes Splunk ES para criar incidentes de segurança SIR.
    • Mapeamento de arrastar e soltar de Splunk valores de campo de evento notáveis para campos de incidente de segurança SIR associados.
    • Uma visualização do layout do incidente de segurança SIR com base em eventos notáveis de amostra para validar os detalhes do mapeamento de eventos.
    • Inclua eventos notáveis históricos, bem como eventos notáveis em andamento, novos e atualizados em intervalos configuráveis.
    • Filtrar eventos notáveis que não atendem aos critérios de geração de incidentes do SIR, por exemplo, eventos de baixa prioridade, eventos que ainda não atingiram um status específico e assim por diante.
    • Agregue eventos ou alertas a incidentes de segurança SIR existentes com base em valores de campo correspondentes para evitar incidentes de segurança duplicados.
    • Atualize eventos notáveis com base na criação de incidentes SIR e/ou condicionais de fechamento por meio de uma interface bidirecional para manter Splunk ES atualizações de eventos notáveis em sincronia com o ServiceNow status do incidente SIR.

    Now Platform Versões compatíveis

    O plug-in com.snc.si_dep é necessário para esta integração. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Security Incident Response. Instale e ative este plug-in antes de instalar e ativar as outras Security Operations aplicações.

    As aplicações Security Operations a seguir devem ser instaladas e ativadas a partir do ServiceNow Store. Instale e ative um aplicativo de cada vez na ordem listada abaixo para garantir uma instalação sem problemas:
    1. Security Integration Framework
    2. Security Support Common
    3. Security Incident Response

    Para obter mais informações sobre como instalar as aplicações principais Security Operations, consulte Obter direito para um produto ou aplicação Security Operations e Ativar uma aplicação ServiceNow Store.

    ServiceNow Complementos

    O ServiceNow Complemento de ingestão de eventos do Security Operations para Splunk ES será necessário somente se você preferir encaminhar eventos manualmente do console de revisão de incidentes Splunk Enterprise Security ] para a instância Now Platform. Este ServiceNow addon está disponível em splunkbase.

    Este ServiceNow Complemento de ingestão de eventos do Security Operations para a aplicação Splunk Enterprise no splunkbase não é necessário para a ingestão de alertas automatizada compatível com a integração.

    Versões compatíveis do Splunk

    Esta integração foi testada com a Splunk Enterprise versão 8.0.1 e com a aplicação Splunk Enterprise Security versão 6.2.1.

    MID Server

    Esta integração requer um MID Server instalado e configurado em sua instância Now Platform® para se conectar ao serviço Splunk quando o servidor Splunk é implantado em sua rede corporativa. Se você estiver usando o serviço Splunk Cloud, um MID Server não será necessário. Consulte MID Server para obter mais informações sobre MID Servers.

    Referências

    Referência Identificador de documento Título do Documento
    1

    Splunk site do produto

    		 Site do produto Splunk Enterprise Security.

    Check-list

    Para obter uma check-list imprimível desses tópicos, consulte Check-list para a integração de ingestão de eventos notáveis Splunk Enterprise Security. Você pode usar essa lista para monitorar seu andamento enquanto trabalha nas tarefas da integração.