Splunk Enterprise Security Intégration de l’ingestion d’événements pour Opérations de sécurité par ServiceNow

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • L’intégration Splunk Enterprise Security de l’ingestion d’événements notables avec le Réponse aux incidents de sécurité produit (SIR) permet aux analystes d’incidents de sécurité de collecter et de traiter des données d’événements notables (appelées notables).

    Vue d'ensemble

    Les données sont ingérées en continu en fonction d’un calendrier d’interrogation configuré et sont utilisées par les analystes pour identifier les cybermenaces potentielles et y répondre. Les événements de sécurité qui sont collectés peuvent être corrélés à des événements notables dans Splunk Enterprise Security cette intégration, puis ingérés automatiquement avec cette intégration. En outre, les événements notables individuels peuvent être transférés manuellement à la demande à partir de la console d’examen Splunk Enterprise Security des incidents et de l’interface de génération de rapports vers le Réponse aux incidents de sécurité produit de pour Now Platform créer des incidents de sécurité.

    Cette intégration fournit à un analyste du centre des opérations de sécurité (SOC) une visibilité sur les événements notables et les données connexes sur les événements contributifs. Ces données peuvent être intégrées dans Now Platform Réponse aux incidents de sécurité (SIR) des incidents de sécurité pour une enquête et une correction plus approfondies. Les profils sont créés dans votre Now Platform instance pour gérer différents types d’événements notables créés via des recherches de corrélation dans Splunk Enterprise Security. Ces profils personnalisent l’affichage des différents Splunk champs d’événement dans SIR les incidents de sécurité.

    Fonctionnalités principales

    Cette intégration comprend les fonctionnalités clés suivantes :

    • Créez plusieurs profils d’ingestion d’événements notables pour créer des incidents de sécurité SIR pour des types de menaces spécifiques tels que l’hameçonnage, les programmes malveillants et les tentatives d’accès non autorisé.
    • Créez plusieurs profils d’événements pour le transfert d’événements à la demande à partir de votre Splunk ES console d’examen des incidents afin de créer des incidents de sécurité SIR.
    • Glisser-déplacer le mappage des valeurs de champ d’événement Splunk notables vers les champs d’incident de sécurité SIR associés.
    • Aperçu de la mise en page de l’incident de sécurité basée sur des SIR exemples d’événements notables pour valider les détails du mappage d’événements.
    • Ingérer les événements notables historiques, ainsi que les événements notables en cours, nouveaux et mis à jour à intervalles configurables.
    • Filtrez les événements notables qui ne répondent pas aux critères de génération d’incidents SIR, par exemple, les événements de faible priorité, les événements qui n’ont pas encore atteint un état spécifique, etc.
    • Regroupez les événements ou les alertes concernant les incidents de sécurité existants SIR en fonction des valeurs de champ correspondantes pour éviter les incidents de sécurité en double.
    • Mettre à jour les événements notables en fonction des conditions de création et/ou de fermeture d’incident SIR via une interface bidirectionnelle pour synchroniser Splunk ES les mises à jour des événements notables avec l’état de l’incident ServiceNow SIR.

    Versions prises en charge Now Platform

    Le module d’extension com.snc.si_dep est requis pour cette intégration. Ce module d’extension installe automatiquement toutes les dépendances nécessaires à la prise en charge du Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications.

    Les applications suivantes Opérations de sécurité doivent être installées et activées à partir du ServiceNow Store. Installez, puis activez une application à la fois dans l’ordre indiqué ci-dessous pour garantir une installation fluide :
    1. Cadre de travail de Security Integration
    2. Security Support Common
    3. Réponse aux incidents de sécurité

    Pour plus d’informations sur l’installation des Opérations de sécurité applications principales, consultez et .

    ServiceNow Modules complémentaires

    Le ServiceNow module complémentaire Security Operations Event Ingestion for Splunk ES n’est requis que si vous préférez transférer manuellement les événements depuis votre Splunk Enterprise Security console d’examen des incidents vers votre Now Platform instance. Cet ServiceNow addon est disponible dans splunkbase.

    Ce ServiceNow module complémentaire d’ingestion d’événement de sécurité pour Splunk Enterprise l’application dans Splunkbase n’est pas requis pour l’ingestion d’alerte automatisée prise en charge par l’intégration.

    Versions prises en charge par Splunk

    Cette intégration a été testée avec Splunk Enterprise la version 8.0.1 et avec Splunk Enterprise Security la version d’application 6.2.1.

    Serveur MID

    Cette intégration nécessite l’installation et la configuration d’un serveur MID Server dans votre Now Platform® instance pour se connecter au Splunk service lorsque le Splunk serveur est déployé au sein de votre réseau d’entreprise. Si vous utilisez le Splunk Cloud service, un serveur MID n’est pas nécessaire. Voir Serveur MID pour plus d’informations sur les serveurs MID.

    Références

    Référence Identificateur de document Titre de document
    1

    Splunk Site web du produit

    		 Site Web du produit Splunk Enterprise Security.

    Liste de vérification

    Pour obtenir une liste de contrôle imprimable de ces sujets, reportez-vous à la section Liste de vérification pour l’intégration de l’ingestion d’événements Splunk Enterprise Security notables. Vous pouvez utiliser cette liste pour surveiller votre progression au fur et à mesure que vous accomplissez les tâches de l’intégration.