Splunk Enterprise Security Event-Erfassungsintegration für Security Operations von ServiceNow

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Die Integration von Splunk Enterprise Security Notable Event Ingestion mit dem Produkt Security Incident Response (SIR) ermöglicht Security Incident-Analysten die Erfassung und Verarbeitung von Daten zu wichtigen Events (sogenannte Notables).

    Übersicht

    Daten werden kontinuierlich basierend auf einem konfigurierten Abfragezeitplan erfasst und von Analysten verwendet, um potenzielle Cyberbedrohungen zu erkennen und darauf zu reagieren. Erfasste Sicherheits-Events können mit wichtigen Events in Splunk Enterprise Security korreliert und dann mit dieser Integration automatisch erfasst werden. Außerdem können einzelne wichtige Ereignisse bei Bedarf manuell von der Incident-Überprüfungskonsole und der Berichterstellungsschnittstelle von Splunk Enterprise Security ] an das Produkt Security Incident Response von Now Platform weitergeleitet werden, um Security Incidents zu erstellen.

    Diese Integration bietet einem Security Operations Center (SOC)-Analysten Einblick in wichtige Events und zugehörige beitragende Event-Daten. Diese Daten können zur weiteren Untersuchung und Korrektur in Now Platform Security Incident Response (SIR) Security Incidents integriert werden. Profile werden in Ihrer Instanz Now Platform erstellt, um verschiedene wichtige Event-Typen zu verarbeiten, die über Korrelationssuchen in Splunk Enterprise Securityerstellt werden. Diese Profile passen an, wie verschiedene Splunk Event-Felder in SIR Security Incidents angezeigt werden.

    Schlüsselfunktionen

    Diese Integration umfasst die folgenden wichtigen Funktionen:

    • Erstellen Sie mehrere wichtige Event-Erfassungsprofile, um SIR-Security Incidents für bestimmte Arten von Bedrohungen zu erstellen, z. B. Phishing, Malware und nicht autorisierte Zugriffsversuche.
    • Erstellen Sie mehrere Event-Profile für die On-Demand-Event-Weiterleitung über Ihre Splunk ES Incident-Überprüfungskonsole, um SIR-Security Incidents zu erstellen.
    • Drag-and-Drop-Zuordnung von Splunk Feldwerten für wichtige Ereignisse zu zugehörigen SIR-Security Incident-Feldern.
    • Eine Vorschau des SIR Security Incident-Layouts basierend auf wichtigen Beispiel-Events zur Validierung der Event-Zuordnungsdetails.
    • Erfassen Sie historische wichtige Ereignisse sowie laufende, neue und aktualisierte wichtige Ereignisse in konfigurierbaren Intervallen.
    • Filtern Sie wichtige Events heraus, die die SIR-Kriterien für die Incident-Generierung nicht erfüllen, z. B. Events mit niedriger Priorität, Events, die einen bestimmten Status noch nicht erreicht haben usw.
    • Fassen Sie Events oder Warnungen zu vorhandenen SIR Security Incidents basierend auf übereinstimmenden Feldwerten zusammen, um doppelte Security Incidents zu vermeiden.
    • Aktualisieren Sie wichtige Ereignisse basierend auf SIR-Incident-Erstellungs- und/oder -Abschlussbedingungen über eine bidirektionale Schnittstelle, um Splunk ES wichtige Ereignisaktualisierungen mit dem ServiceNow SIR-Incident-Status synchron zu halten.

    Unterstützte Versionen Now Platform .

    Das Plugin „com.snc.si_dep“ ist für diese Integration erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen Security Operations -Anwendungen installieren und aktivieren.

    Die folgenden Security Operations Anwendungen müssen über den ServiceNow Storeinstalliert und aktiviert werden. Installieren und aktivieren Sie jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation zu gewährleisten:
    1. Security Integration Framework
    2. Security Support Common
    3. Security Incident Response

    Weitere Informationen zur Installation der Kernanwendungen Security Operations finden Sie unter Rufen Sie eine Berechtigung für ein Produkt oder eine Anwendung von Security Operations ab und Aktivieren Sie eine Anwendung ServiceNow Store ..

    ServiceNow Add-ons

    Das Add-on ServiceNow Security Operations Event Ingestion für Splunk ES ist nur erforderlich, wenn Sie Events manuell aus Ihrer Splunk Enterprise Security Incident Review-Konsole an Ihre Now Platform -Instanz weiterleiten möchten. Dieses Add-on ServiceNow ist in splunkbaseverfügbar.

    Diese Anwendung ServiceNow Security Operations Event Ingestion Add-on for Splunk Enterprise in splunkbase ist für die automatisierte Warnungserfassung, die von der Integration unterstützt wird, nicht erforderlich.

    Splunk Unterstützte Versionen

    Diese Integration wurde mit Splunk Enterprise Version 8.0.1 und mit Splunk Enterprise Security Anwendungsversion 6.2.1 getestet.

    MID-Server

    Für diese Integration muss ein installierter und konfigurierter MID Server in Ihrer Now Platform® -Instanz eine Verbindung zum Splunk -Service herstellen, wenn der Splunk -Server in Ihrem Unternehmensnetzwerk bereitgestellt wird. Wenn Sie den Service Splunk Cloud verwenden, ist kein MID Server erforderlich. Weitere Informationen zu MID Servern finden Sie unter MID Server.

    Referenzen

    Referenz Dokumentbezeichner Dokumententitel
    1

    Splunk -Produktwebsite

    		 Produktwebsite von Splunk Enterprise Security.

    Prüfliste

    Eine Prüfliste mit diesen Themen zum Ausdrucken finden Sie unter Prüfliste für die Integration von Splunk Enterprise Security Notable Event Ingestion. Sie können diese Liste verwenden, um Ihren Fortschritt bei der Durcharbeitung der Aufgaben der Integration zu überwachen.