Splunk Enterprise Event Ingestion Integration für Security Operations nach ServiceNow

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Die Integration von Splunk Enterprise Event- und Warnungsdaten mit dem Produkt Security Incident Response (SIR) ermöglicht Security Incident-Analysten die Erfassung und Verarbeitung von Sicherheitsprotokollen und zugehörigen Event-Daten.

    Übersicht

    Daten werden in Echtzeit erfasst und von Analysten verwendet, um potenzielle Cyberbedrohungen zu identifizieren und Berichte darüber zu erstellen. Die erfassten Sicherheits-Events können in ausgelöste Warnungen verarbeitet werden, die mit dieser Integration automatisch erfasst werden. Außerdem können einzelne Sicherheits-Events bei Bedarf manuell von der Such- und Berichtsschnittstelle von Splunk Enterprise ] an das Produkt Security Incident Response von Now Platform weitergeleitet werden, um Security Incidents zu erstellen. Mit der Konfiguration des Suchkopf-Clusters können Sie wichtige Events aus der Suche Splunk Enterprise abrufen. Sie können dies erreichen, indem Sie die URL und den API-Port eines beliebigen Suchkopfs verwenden, der Teil des Clusters ist.

    Diese Integration bietet einem SOC-Analysten (Security Operations Center) Einblick in Events und zugehörige Warnungsdaten. Diese Daten können zur weiteren Untersuchung und Korrektur in Now Platform Security Incident Response (SIR) Security Incidents integriert werden. Profile für Splunk laufende erfasste Warnungen und weitergeleitete Events werden in Ihrer Instanz Now Platform erstellt. Diese Profile passen an, wie verschiedene Splunk Warnungs- und Event-Felder in SIR Security Incidents angezeigt werden. Eine Standardzuordnung von Warnungsfeldern wird bereitgestellt, die bearbeitet und erweitert werden kann, um kundenspezifische Anforderungen zu erfüllen.

    Schlüsselfunktionen

    Diese Integration umfasst die folgenden wichtigen Funktionen:

    • Erstellen Sie mehrere Warnungserfassungsprofile, um SIR-Security Incidents für bestimmte Arten von Bedrohungen wie Phishing und Malware zu erstellen.
    • Erstellen Sie mehrere Event-Profile für die On-Demand-Event-Weiterleitung über Ihre Splunk -Konsole, um SIR-Security Incidents zu erstellen.
    • Drag-and-Drop-Zuordnung von Splunk Warnungs- und Event-Feldwerten zu zugehörigen SIR-Security Incident-Feldern.
    • Eine Vorschau des SIR Security Incident-Layouts basierend auf Beispielwarnungen oder -events zur Validierung der Profilkonfiguration.
    • Erfassen Sie historische Warnungen sowie laufende, zukünftige Warnungen in konfigurierbaren Intervallen.
    • Fassen Sie Events oder Warnungen zu vorhandenen SIR Security Incidents basierend auf übereinstimmenden Feldwerten zusammen, um doppelte Security Incidents zu vermeiden.

    Unterstützte Versionen Now Platform .

    Das Plugin „com.snc.si_dep“ ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen Security Operations -Anwendungen installieren und aktivieren.

    Die folgenden Security Operations Anwendungen müssen über den ServiceNow Storeinstalliert und aktiviert werden. Installieren und aktivieren Sie jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation zu gewährleisten:
    1. Security Integration Framework
    2. Security Support Common
    3. Security Support Orchestration
    4. Security Incident Response

    Weitere Informationen zur Installation der Kernanwendungen Security Operations finden Sie unter Rufen Sie eine Berechtigung für ein Produkt oder eine Anwendung von Security Operations ab und Aktivieren Sie eine Anwendung ServiceNow Store ..

    ServiceNow Add-ons

    Das Add-on ServiceNow Security Operations Event Ingestion für Splunk Enterprise ist nur erforderlich, wenn Sie Events manuell von Ihrer Splunk Enterprise -Konsole an Ihre Now Platform -Instanz weiterleiten möchten. Dieses Add-on ServiceNow ist in splunkbaseverfügbar.

    Diese Anwendung ServiceNow Security Operations Event Ingestion Add-on for Splunk Enterprise in splunkbase ist für die automatisierte Warnungserfassung, die von der Integration unterstützt wird, nicht erforderlich.

    Splunk Unterstützte Versionen

    Diese Integration unterstützt Version 6.0 oder höher von Splunk Enterprise. Die Integration unterstützt auch den Enterprise Cloud-Service Splunk.

    MID-Server

    Für diese Integration muss ein installierter und konfigurierter MID Server in Ihrer Now Platform® -Instanz eine Verbindung zum Splunk -Service herstellen, wenn der Splunk -Server in Ihrem Unternehmensnetzwerk bereitgestellt wird. Wenn Sie den Service Splunk Cloud verwenden, ist kein MID Server erforderlich. Weitere Informationen zu MID Servern finden Sie unter MID Server.

    Integrationsarchitektur und Systemverbindung

    Weitere Informationen zur Architektur der Integration, einschließlich wichtiger Begriffe und Details zur Verbindung externer Systeme, finden Sie unter Integrationsarchitektur und externe Systemverbindung für die Splunk Enterprise Event Ingestion -Integration.

    Prüfliste

    Eine Prüfliste mit diesen Themen zum Ausdrucken finden Sie unter Prüfliste für die Integration von Splunk Enterprise Security Notable Event Ingestion. Sie können diese Liste verwenden, um Ihren Fortschritt bei der Durcharbeitung der Aufgaben der Integration zu überwachen.

    Die in den folgenden Themen verwendeten Images wurden für das Kingston-Release von Now Platformgeneriert. Weitere Informationen zur Benutzeroberfläche von San Diego finden Sie unter Sicherheitsbedrohungen mit Security Analyst Workspace verwalten.

    Die folgenden Themen sind nummeriert. Befolgen Sie die unten aufgeführten Themen in der Reihenfolge, in der sie für eine reibungslose Installation und Konfiguration der Anwendung angezeigt werden.