Splunk Enterprise Event Ingestionintegração para Operações de segurançapor ServiceNow

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura
  • . Splunk Enterpriseintegração de dados de evento e alerta com o. Resposta a incidentes de segurança( SIR) permite que os analistas de incidentes de segurança coletem e processem logs de segurança e dados de eventos relacionados.

    Visão geral

    Os dados são coletados em tempo real e usados por analistas para identificar e relatar possíveis ameaças cibernéticas. Os eventos de segurança coletados podem ser processados em alertas acionados que são ingeridos automaticamente com esta integração. Além disso, eventos de segurança individuais podem ser encaminhados manualmente sob demanda do Splunk Enterpriseinterface de pesquisa e emissão de relatórios no Resposta a incidentes de segurançaproduto do Now Platformpara criar incidentes de segurança. Você pode recuperar eventos notáveis de Splunk Enterprisepesquisa com a configuração de cluster do cabeçalho de pesquisa. Você pode conseguir isso usando o URL e a porta da API de qualquer cabeçalho de pesquisa que faça parte do cluster.

    Esta integração fornece a um analista do centro de operações de segurança (SOC) visibilidade de eventos e dados de alertas relacionados. Esses dados podem ser integrados em Now Platform Resposta a incidentes de segurança( SIR) incidentes de segurança para investigação e correção adicionais. Perfis para Splunkos alertas ingeridos em andamento e eventos encaminhados são criados em seu Now Platforminstância. Esses perfis personalizam a diferença Splunkos campos de alerta e evento são exibidos em SIRincidentes de segurança. Um mapeamento padrão de campos de alerta é fornecido que pode ser editado e aumentado para atender às necessidades específicas do cliente.

    Principais recursos

    Esta integração inclui os seguintes recursos principais:

    • Crie vários perfis de ingestão de alertas para criar incidentes de segurança DE SIR para tipos específicos de ameaças, como phishing e malware.
    • Crie vários perfis de evento para encaminhamento de eventos sob demanda do SplunkConsole para criar incidentes de segurança SIR.
    • Mapeamento de arrastar e soltar de SplunkValores de campo de alerta e evento para campos de incidente de segurança DE SIR associados.
    • Uma visualização do SIRlayout de incidente de segurança com base em alertas ou eventos de amostra para validar a configuração do perfil.
    • Ingira alertas históricos, bem como alertas futuros contínuos em intervalos configuráveis.
    • Eventos ou alertas agregados aos existentes SIRincidentes de segurança com base em valores de campo correspondentes para evitar incidentes de segurança duplicados.

    Versões da Now Platform compatíveis

    O plug-in com.snc.si_dep é necessário. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao Resposta a incidentes de segurançaproduto. Instale e ative este plug-in antes de instalar e ativar o outro Operações de segurançaaplicações.

    O seguinte Operações de segurançaas aplicações devem ser instaladas e ativadas a partir do ServiceNow Store. Instale e, em seguida, ative uma aplicação de cada vez na ordem listada abaixo para garantir uma instalação tranquila:
    1. Estrutura de integração de segurança
    2. Suporte de segurança comum
    3. Orquestração do suporte de segurança
    4. Resposta a incidentes de segurança

    Para obter mais informações sobre como instalar o. Operações de segurançaaplicações principais, consulte Obter direito para um Operações de segurançaproduto ou aplicaçãoe. Ative um ServiceNow Storeaplicação.

    ServiceNow Complementos

    . ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterpriseé necessário somente se você preferir encaminhar eventos manualmente do Splunk Enterpriseconsole em seu Now Platforminstância. Isso ServiceNowo complemento está disponível em splunkbase .

    Isso ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterprisea aplicação no splunkbase não é necessária para a ingestão automatizada de alertas compatível com a integração.

    Versões compatíveis com Splunk

    Esta integração é compatível com a versão 6,0 ou posterior do Splunk Enterprise. A integração também é compatível com SplunkServiço de nuvem empresarial.

    MID Server

    Esta integração requer um MID Server instalado e configurado em seu Now Platform®instância para se conectar ao Splunkserviço, se o. Splunko servidor está implantado em sua rede corporativa. Se você estiver usando o. Splunk CloudUm MID Server não é necessário. Para obter mais informações sobre MID Servers, consulte MID Server .

    Conexão de sistemas e arquitetura de integração

    Para obter mais informações sobre a arquitetura da integração, incluindo termos-chave e detalhes de conexão de sistemas externos, consulte Arquitetura de integração e conexão de sistemas externos para o. Splunk Enterprise Event Ingestionintegração.

    Check-list

    Para obter uma check-list imprimível desses tópicos, consulte Check-list para Splunk Enterprise SecurityIntegração de ingestão de evento notável. Você pode usar esta lista para monitorar seu progresso enquanto trabalha nas tarefas da integração.

    As imagens usadas nos tópicos a seguir foram geradas para a versão Kingston do Now Platform. Para obter informações sobre a interface do usuário de San Diego, consulte Gerencie ameaças de segurança usando o Espaço do analista de segurança .

    Os tópicos a seguir são numerados. Siga os tópicos listados abaixo na ordem em que são apresentados para uma instalação e configuração suaves da aplicação.