TISC integration with Splunk
A integração entre Central de segurança de inteligência contra ameaças (TISC) e Splunk permite que os usuários filtrem e extraiam dados relevantes de observáveis de inteligência contra ameaças em Splunk. Dentro do Splunk, os usuários podem usar esses dados para gerar alertas de segurança.
Função necessária: administrador do Splunk
Usando a aplicação de complemento TISC, você pode configurar o intervalo em que pode extrair observáveis da instância ServiceNow de TISC.
Este intervalo determina com que frequência a aplicação pode fazer solicitações para ServiceNow e recuperar os dados de observáveis. Além disso, você pode definir e aplicar filtros para especificar os observáveis que deseja extrair da instância ServiceNow do TISC.
Depois que os observáveis são extraídos de ServiceNow, os dados dos observáveis são armazenados no KV Store do Splunk (armazenamento de valor-chave) e você pode gravar as regras de correlação sobre o conjunto de observáveis que foram extraídos.