Integração do TISC com Splunk
A integração entre Central de segurança de inteligência contra ameaças(TISC) e. Splunkpermite que os usuários filtrem e extraiam dados relevantes de observáveis de inteligência contra ameaças para Splunk. Em Splunk, os usuários podem usar esses dados para gerar alertas de segurança.
Função necessária: Administrador do Splunk
Usando a aplicação complementar do TISC, você pode configurar o intervalo no qual você pode extrair observáveis de ServiceNowInstância do TISC.
Este intervalo determina com que frequência a aplicação pode fazer solicitações ServiceNowe recuperam os dados dos observáveis. Além disso, você pode definir e aplicar filtros para especificar os observáveis que você deseja extrair do ServiceNowInstância do TISC.
Quando os observáveis forem extraídos de ServiceNow, Os dados dos observáveis são armazenados no armazenamento de KV do Splunk (armazenamento de chave-valor) e você pode escrever ainda mais as regras de correlação sobre o conjunto de observáveis que foram extraídos.