Splunk Enterprise Event Ingestion integração para Operações de segurança por ServiceNow

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 4 min. de leitura

    • . Splunk Enterprise integração de dados de evento e alerta com Resposta a incidentes de segurança( SIR) permite que os analistas de incidentes de segurança coletem e processem logs de segurança e dados de eventos relacionados.

    Visão geral

    Os dados são coletados em tempo real e usados por analistas para identificar e relatar possíveis ameaças cibernéticas. Os eventos de segurança coletados podem ser processados em alertas acionados que são ingeridos automaticamente com esta integração. Eventos de segurança individuais podem ser encaminhados manualmente sob demanda do Splunk Enterprise interface de pesquisa e emissão de relatórios no Resposta a incidentes de segurança produto do ServiceNow AI Platform para criar incidentes de segurança. Você pode recuperar eventos notáveis de Splunk Enterprise pesquise com a configuração de cluster do cabeçote de pesquisa. Você pode conseguir isso usando a URL e a porta de API de qualquer cabeçalho de pesquisa que faça parte do cluster.

    Esta integração fornece a um analista do SOC (Security Operations Center, centro de operações de segurança) visibilidade de eventos e dados de alertas relacionados. Esses dados podem ser integrados ao ServiceNow AI Platform Resposta a incidentes de segurança( SIR incidentes de segurança para investigação e correção adicionais. Perfis para Splunk alertas ingeridos contínuos e eventos encaminhados são criados em seu ServiceNow AI Platform instância. Esses perfis personalizam a diferença Splunk os campos alerta e evento são exibidos em SIR incidentes de segurança. Um mapeamento padrão de campos de alerta é fornecido que pode ser editado e aumentado para atender às necessidades específicas do cliente.

    Principais recursos

    Esta integração inclui os seguintes recursos principais:

    • Crie vários perfis de ingestão de alertas para criar incidentes de segurança SIR para tipos específicos de ameaças, como phishing e malware.
    • Crie vários perfis de evento para encaminhamento de eventos sob demanda do seu Splunk Console para criar incidentes de segurança SIR.
    • Mapeamento de arrastar e soltar de Splunk Valores de campo de alerta e evento aos campos de incidente de segurança SIR associados.
    • Uma visualização do SIR layout de incidente de segurança com base em alertas ou eventos de amostra para validar a configuração do perfil.
    • Ingerir alertas históricos, bem como alertas futuros contínuos em intervalos configuráveis.
    • Agregue eventos ou alertas aos existentes SIR incidentes de segurança com base em valores de campo correspondentes para evitar incidentes de segurança duplicados.

    Versões da ServiceNow AI Platform compatíveis

    O plug-in com.snc.si_dep é necessário. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao Resposta a incidentes de segurança produto. Instale e ative este plug-in antes de instalar e ativar o outro Operações de segurança aplicações.

    A seguir Operações de segurança as aplicações devem ser instaladas e ativadas a partir do ServiceNow Store. Instale e ative um aplicativo de cada vez na ordem listada abaixo para garantir uma instalação tranquila:
    1. Framework de integração de segurança
    2. Security Support Common
    3. Orquestração do suporte de segurança
    4. Resposta a incidentes de segurança

    Para obter mais informações sobre como instalar o. Operações de segurança aplicações principais, consulte Obtenha direito para um Operações de segurança produto ou aplicação e. Ativar um ServiceNow Store aplicação.

    ServiceNow Complementos

    . ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterpriseé necessário somente se você preferir encaminhar eventos manualmente do seu Splunk Enterprise console em seu ServiceNow AI Platform instância. Isso ServiceNow o complemento está disponível em splunkbase .

    Isso ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise a aplicação no splunkbase não é necessária para a ingestão automatizada de alertas que é compatível com a integração.

    Versões compatíveis com Splunk

    Esta integração oferece suporte à versão 6,0 ou posterior do Splunk Enterprise. A integração também oferece suporte ao Splunk Serviço de nuvem empresarial.

    MID Server

    Esta integração requer um MID Server instalado e configurado em seu ServiceNow AI Platform® instância para se conectar ao Splunk se o Splunk o servidor está implantado em sua rede corporativa. Se você estiver usando Splunk Cloud Um MID Server não é necessário. Para obter mais informações sobre MID Servers, consulte MID Server .

    Arquitetura de integração e conexão de sistemas

    Para obter mais informações sobre a arquitetura da integração, incluindo termos principais e detalhes de conexão de sistemas externos, consulte Arquitetura de integração e conexão de sistemas externos para Splunk Enterprise Event Ingestion integração.

    Check-list

    Para obter uma check-list imprimível desses tópicos, consulte Check-list para Splunk Enterprise Security Integração de ingestão de evento notável. Você pode usar esta lista para monitorar seu andamento conforme trabalha nas tarefas da integração.

    As imagens usadas nos tópicos a seguir foram geradas para a versão Kingston do ServiceNow AI Platform. Para obter informações sobre a interface do usuário de San Diego, consulte Gerencie ameaças à segurança usando o Espaço do analista de segurança .

    Os tópicos a seguir são numerados. Siga os tópicos listados abaixo na ordem em que são apresentados para uma instalação e configuração suaves da aplicação.