Principais termos usados para esta integração

Os termos-chave a seguir são usados durante a instalação e a configuração. Para obter mais informações sobre esses termos, consulte Site de documentação do produto ServiceNow e o. Site Splunk e recursos em Recursos Splunk página.

Now Platform

Uma empresa ServiceNowproduto. . Now Platformé a base sobre a qual componentes individuais, como Resposta a incidentes de segurança( SIR), Gestão de serviços de TI (ITSM) e outros produtos são criados.

ServiceNow Complemento Splunkbase

R ServiceNowaplicação instalada no Splunk Enterpriseconsole que oferece suporte à opção de encaminhamento manual de eventos da integração. O encaminhamento manual de eventos é um recurso opcional da integração. Isso ServiceNowO complemento Splunkbase não é necessário para a ingestão automatizada de alertas fornecida pela integração.

Resposta a incidentes de segurança (SIR)

R Now Platformaplicação que rastreia o andamento de incidentes de segurança desde a descoberta e a análise inicial, passando pela contenção, erradicação e recuperação e até a revisão e fechamento final pós-incidente.

Splunk Enterprise

Um produto automatizado de gestão de eventos de incidentes de segurança (SIEM) ou serviço em nuvem que coleta dados usados para análise e gestão de incidentes. Este serviço está em um host que às vezes também é chamado de Splunkneste guia.

Splunk alerta

Uma pesquisa que você configura e salva em Splunkpara verificar dados específicos com base nos parâmetros configurados no Splunk Enterpriseserviço. Quando você extrai alertas de Splunk, você também extrai todos os eventos associados a esse alerta.

Splunk alerta acionado

Uma pesquisa configurada no Splunk Enterpriseconsole que retorna resultados e sinaliza esses resultados como alertas acionados. Os alertas acionados são ingeridos do Splunkconsole em seu Now Platforminstância desta integração. Os alertas acionados têm um ou mais Splunkeventos.

Splunk evento

Um ou mais elementos de dados que resultam nos alertas acionados do Splunkserviço. Do seu Now Platform, você pode pesquisar qual Splunkeventos acionados Now Platformincidentes de segurança.

MID Server

Esta aplicação facilita a comunicação e a movimentação de dados entre o. Now Platforme aplicações externas, fontes de dados e serviços. Esta aplicação é normalmente necessária para integração com tecnologias no local e, para isso Splunk Enterprise Event Ingestion, o MID Server facilita a comunicação entre o. Now Platforme a instância no local de Splunk Enterprise. Um MID Server não será necessário se você estiver integrando seu Now Platforminstância com um Splunk Cloudinstância.

Administrador de incidentes de segurança (sn_si.admin)

O usuário com esta função supervisiona a configuração da integração com o. SIRproduto em seu Now Platforminstância.

Analista de incidentes de segurança (sn_si.analista)

O usuário com esta função interage com e analisa incidentes de segurança no ServiceNow Resposta a incidentes de segurançaproduto.

Conexão de sistemas externos

Um perfil de evento é um contêiner que você cria, nomeia e configura para uma conexão singular e chama para o. Splunkserviço para extrair os alertas acionados mais atuais que correspondem a critérios específicos. Os alertas acionados que correspondem ao seu perfil foram extraídos de Splunk, você seleciona quais desses alertas deseja exibir como Now Platform Resposta a incidentes de segurança SIRincidente de segurança. Uma exibição padrão do Splunk Enterpriseos campos de alerta estão disponíveis e você edita este mapeamento de campos de alerta para os campos em um SIRincidente de segurança para atender às suas necessidades. Você visualiza seu mapeamento para verificar se todos os valores de campo de alerta obrigatórios estão preenchidos no SIRincidente de segurança. Para concluir a configuração do perfil de alerta, você agenda a recuperação de alertas e, em seguida, ativa o perfil. Depois de ativar o perfil no Now Platform, você está pronto para ingerir histórico e contínuo Splunkalertas automaticamente.

Como usuário com a função sn_si.admin, se você determinar que um novo alerta acionado é semelhante aos alertas ingeridos anteriormente, poderá agregar novos alertas acionados aos existentes SIRincidentes de segurança. Você define critérios para especificar valores de campo de destino correspondentes no Splunk Enterpriseperfil de alerta que define quando um incidente de segurança existente é atualizado e quando um novo incidente de segurança é criado. Se o recurso de agregação estiver habilitado em seu perfil de evento, quando o conjunto de importação for transformado, seu Now Platforma instância verifica se há um registro existente na tabela de destino que tenha o mesmo valor nos campos de destino e de origem. Se um registro existente com um valor correspondente na tabela de destino for encontrado, esse registro será atualizado. Se nenhum registro correspondente for encontrado, um novo registro será criado na tabela de destino. Se habilitada, a opção de agregação atualiza os incidentes de segurança existentes com novos alertas acionados e você evita a criação de vários incidentes de segurança. Para obter mais informações sobre como atualizar registros usando opções de agregação, consulte Atualizando registros usando aglutinação .

Esta aplicação usa o. SplunkServiço de API para recuperar informações do Splunkserviço. Uma conexão HTTPS de saída do MID Server para este ambiente é necessária para que a integração funcione corretamente.

Depois que ele é conectado ao Splunk, a integração oferece suporte à extração e ingestão de alertas acionados e eventos que acionam incidentes de segurança.

O fluxo de dados básico é ilustrado nas figuras a seguir. Em cada figura, seu Now Platformestá extraindo (ingerindo) dados. Splunknão está enviando dados para alertas agendados.