Splunk Enterprise Securityintegração de ingestão de eventos para Operações de segurançapor ServiceNow

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • . Splunk Enterprise Securityintegração de ingestão de evento notável com o. Resposta a incidentes de segurança( SIR) permite que os analistas de incidentes de segurança coletem e processem dados de eventos notáveis (conhecidos como notáveis).

    Visão geral

    Os dados são ingeridos continuamente com base em um cronograma de pesquisa configurado e são usados por analistas para identificar e responder a possíveis ameaças cibernéticas. Os eventos de segurança coletados podem ser correlacionados a eventos notáveis em Splunk Enterprise Securitye, em seguida, ingerido automaticamente com esta integração. Além disso, eventos notáveis individuais podem ser encaminhados manualmente sob demanda do Splunk Enterprise SecurityConsole de Revisão de incidentes e interface de emissão de relatórios no Resposta a incidentes de segurançaproduto do Now Platformpara criar incidentes de segurança.

    Esta integração fornece a um analista do centro de operações de segurança (SOC) visibilidade de eventos notáveis e dados de eventos de contribuição relacionados. Esses dados podem ser integrados em Now Platform Resposta a incidentes de segurança( SIR) incidentes de segurança para investigação e correção adicionais. Os perfis são criados em Now Platforminstância para lidar com diferentes tipos de eventos notáveis que são criados por meio de pesquisas de correlação em Splunk Enterprise Security. Esses perfis personalizam a diferença Splunkos campos de evento são exibidos em SIRincidentes de segurança.

    Principais recursos

    Esta integração inclui os seguintes recursos principais:

    • Crie vários perfis de ingestão de eventos notáveis para criar incidentes de segurança DE SIR para tipos específicos de ameaças, como phishing e malware e tentativas de acesso não autorizado.
    • Crie vários perfis de evento para encaminhamento de eventos sob demanda do Splunk ESConsole de revisão de incidentes para criar incidentes de segurança SIR.
    • Mapeamento de arrastar e soltar de SplunkValores de campo de evento notáveis para campos de incidente de segurança DE SIR associados.
    • Uma visualização do SIRlayout de incidente de segurança com base em exemplos de eventos notáveis para validar detalhes de mapeamento de eventos.
    • Ingira eventos notáveis históricos, bem como eventos notáveis em andamento, novos e atualizados em intervalos configuráveis.
    • Filtre eventos notáveis que não atendam aos critérios de geração de incidentes de SIR, por exemplo, eventos de baixa prioridade, eventos que ainda não atingiram um status específico e assim por diante.
    • Eventos ou alertas agregados aos existentes SIRincidentes de segurança com base em valores de campo correspondentes para evitar incidentes de segurança duplicados.
    • Atualize eventos notáveis com base na criação de incidente de SIR e/ou nas condições de fechamento por meio de uma interface bidirecional para manter Splunk ESatualizações de eventos notáveis em sincronia com o. ServiceNowStatus do incidente de SIR.

    Versões da Now Platform compatíveis

    O plug-in com.snc.si_dep é necessário para esta integração. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao Resposta a incidentes de segurançaproduto. Instale e ative este plug-in antes de instalar e ativar o outro Operações de segurançaaplicações.

    O seguinte Operações de segurançaas aplicações devem ser instaladas e ativadas a partir do ServiceNow Store. Instale e, em seguida, ative uma aplicação de cada vez na ordem listada abaixo para garantir uma instalação tranquila:
    1. Estrutura de integração de segurança
    2. Suporte de segurança comum
    3. Resposta a incidentes de segurança

    Para obter mais informações sobre como instalar o. Operações de segurançaaplicações principais, consulte Obter direito para um Operações de segurançaproduto ou aplicaçãoe. Ative um ServiceNow Storeaplicação.

    ServiceNow Complementos

    . ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk ESé necessário somente se você preferir encaminhar eventos manualmente do Splunk Enterprise SecurityConsole de Revisão de incidentes em seu Now Platforminstância. Isso ServiceNowo complemento está disponível em splunkbase .

    Isso ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterprisea aplicação no splunkbase não é necessária para a ingestão automatizada de alertas compatível com a integração.

    Versões compatíveis com Splunk

    Esta integração foi testada com Splunk Enterpriseversão 8.0.1 e com Splunk Enterprise Securityaplicação versão 6,2.1.

    MID Server

    Esta integração requer um MID Server instalado e configurado em seu Now Platform®instância para se conectar ao Splunkserviço quando Splunko servidor está implantado em sua rede corporativa. Se você estiver usando o. Splunk CloudUm MID Server não é necessário. Consulte MID Server Para obter mais informações sobre MID Servers.

    Referências

    Referência Identificador do documento Título do Documento
    1

    Splunk site do produto

    		 Site do produto Splunk Enterprise Security .

    Check-list

    Para obter uma check-list imprimível desses tópicos, consulte Check-list para Splunk Enterprise SecurityIntegração de ingestão de evento notável. Você pode usar esta lista para monitorar seu progresso enquanto trabalha nas tarefas da integração.