Splunk Enterprise Security integração de ingestão de evento

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • . Splunk Enterprise Security integração de ingestão de evento notável com Resposta a incidentes de segurança( SIR) permite que os analistas de incidentes de segurança coletem e processem dados de eventos notáveis (conhecidos como notáveis).

    Visão geral de Splunk Enterprise Security integração de ingestão de evento

    Os dados são ingeridos continuamente com base em uma programação de pesquisa configurada e são usados por analistas para identificar e responder a possíveis ameaças cibernéticas. Os eventos de segurança coletados podem ser correlacionados a eventos notáveis em Splunk Enterprise Security e, em seguida, ingerido automaticamente com esta integração. Eventos notáveis individuais podem ser encaminhados manualmente sob demanda do Splunk Enterprise Security Console de Revisão de incidentes e interface de emissão de relatórios no Resposta a incidentes de segurança produto do ServiceNow AI Platform para criar incidentes de segurança.

    Esta integração fornece a um analista do SOC (Security Operations Center, centro de operações de segurança) visibilidade de eventos notáveis e dados de eventos de contribuição relacionados. Esses dados podem ser integrados ao ServiceNow AI Platform Resposta a incidentes de segurança( SIR incidentes de segurança para investigação e correção adicionais. Os perfis são criados em seu ServiceNow AI Platform instância para lidar com diferentes tipos de eventos notáveis que são criados por meio de pesquisas de correlação em Splunk Enterprise Security. Esses perfis personalizam a diferença Splunk os campos de evento são exibidos em SIR incidentes de segurança.

    Principais recursos

    Esta integração inclui os seguintes recursos principais:

    • Crie vários perfis de ingestão de eventos notáveis para criar incidentes de segurança SIR para tipos específicos de ameaças, como phishing e malware e tentativas de acesso não autorizado.
    • Crie vários perfis de evento para encaminhamento de eventos sob demanda do seu Splunk ES Console de revisão de incidentes para criar incidentes de segurança SIR.
    • Mapeamento de arrastar e soltar de Splunk Valores de campo de evento notáveis para campos de incidente de segurança SIR associados.
    • Uma visualização do SIR layout de incidente de segurança com base em exemplos de eventos notáveis para validar detalhes de mapeamento de eventos.
    • Ingerir eventos notáveis históricos, bem como eventos notáveis contínuos, novos e atualizados em intervalos configuráveis.
    • Filtre eventos notáveis que não atendem aos critérios de geração de incidentes SIR, por exemplo, eventos de baixa prioridade, eventos que ainda não atingiram um status específico e assim por diante.
    • Agregue eventos ou alertas aos existentes SIR incidentes de segurança com base em valores de campo correspondentes para evitar incidentes de segurança duplicados.
    • Atualize eventos notáveis com base nas condições de criação e/ou fechamento de incidentes de SIR por meio de uma interface bidirecional para manter Splunk ES atualizações de eventos notáveis em sincronia com ServiceNow Status do incidente SIR.

    Versões da ServiceNow AI Platform compatíveis

    O plug-in com.snc.si_dep é necessário para esta integração. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao Resposta a incidentes de segurança produto. Instale e ative este plug-in antes de instalar e ativar o outro Operações de segurança aplicações.

    A seguir Operações de segurança as aplicações devem ser instaladas e ativadas a partir do ServiceNow Store. Instale e ative um aplicativo de cada vez na ordem listada abaixo para garantir uma instalação tranquila:
    1. Framework de integração de segurança
    2. Security Support Common
    3. Resposta a incidentes de segurança

    Para obter mais informações sobre como instalar o. Operações de segurança aplicações principais, consulte Obtenha direito para um Operações de segurança produto ou aplicação e. Ativar um ServiceNow Store aplicação.

    ServiceNow Complementos

    . ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk ESé necessário somente se você preferir encaminhar eventos manualmente do seu Splunk Enterprise Security Console de Revisão de incidentes em seu ServiceNow AI Platform instância. Isso ServiceNow o complemento está disponível em splunkbase .

    Isso ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise a aplicação no splunkbase não é necessária para a ingestão automatizada de alertas que é compatível com a integração.

    Versões compatíveis com Splunk

    Esta integração foi testada com Splunk Enterprise versão 8.0.1 e com Splunk Enterprise Security aplicação versão 6,2.1.

    MID Server

    Esta integração requer um MID Server instalado e configurado em seu ServiceNow AI Platform® instância para se conectar ao Splunk serviço quando Splunk o servidor está implantado em sua rede corporativa. Se você estiver usando Splunk Cloud Um MID Server não é necessário. Consulte MID Server Para obter mais informações sobre MID Servers.

    Referências

    Referência Identificador do documento Título do documento
    1

    Splunk site do produto

    		 Site do produto Splunk Enterprise Security .

    Check-list

    Para obter uma check-list imprimível desses tópicos, consulte Check-list para Splunk Enterprise Security Integração de ingestão de evento notável. Você pode usar esta lista para monitorar seu andamento conforme trabalha nas tarefas da integração.