Splunk Enterprise Security Event Ingestion Integration für Security Operations von ServiceNow

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Die Integration der [ Splunk Enterprise Security  Erfassung beachtenswerter Ereignisse mit dem Produkt Security Incident Response (SIR) ermöglicht Security Incident-Analysten das Sammeln und Verarbeiten von Daten zu beachtenswerten Ereignissen (sog. „notables“).

    Übersicht

    Daten werden kontinuierlich basierend auf einem konfigurierten Abfragezeitplan erfasst und von Analysten verwendet, um potenzielle Cyberbedrohungen zu identifizieren und darauf zu reagieren. Gesammelte Sicherheitsereignisse können zu wichtigen Ereignissen in Splunk Enterprise Security korreliert und dann mit dieser Integration automatisch erfasst werden. Außerdem können einzelne wichtige Ereignisse bei Bedarf manuell von der Incident-Überprüfungskonsole und der Berichterstellungsschnittstelle Splunk Enterprise SecuritySecurity Incident Response ] an das Produkt von Now Platform weitergeleitet werden, um Security Incidents zu erstellen.

    Diese Integration bietet einem SOC-Analysten (Security Operations Center) Einblick in wichtige Ereignisse und zugehörige beitragende Ereignisdaten. Diese Daten können zur weiteren Untersuchung und Behebung in Security Incidents Now Platform Security Incident Response (SIR) integriert werden. In Ihrer Instanz Now Platform werden Profile erstellt, um verschiedene Typen von beachtenswerten Ereignissen zu verarbeiten, die über Korrelationssuchen in Splunk Enterprise Securityerstellt werden. Diese Profile passen an, wie verschiedene Splunk -Ereignisfelder in SIR -Security-Incidents angezeigt werden.

    Schlüsselfunktionen

    Diese Integration umfasst die folgenden Schlüsselfunktionen:

    • Erstellen Sie mehrere Profile zur Erfassung wichtiger Ereignisse, um SIR-Security Incidents für bestimmte Arten von Bedrohungen wie Phishing, Malware und nicht autorisierte Zugriffsversuche zu erstellen.
    • Erstellen Sie mehrere Ereignisprofile für die bedarfsgesteuerte Ereignisweiterleitung über Ihre Incident-Überprüfungskonsole Splunk ES, um SIR-Security-Incidents zu erstellen.
    • Drag-and-Drop-Zuordnung von Splunk Feldwerten für wichtige Ereignisse zu zugehörigen SIR-Security Incident-Feldern.
    • Eine Vorschau des SIR Security Incident-Layouts basierend auf wichtigen Beispielereignissen zur Validierung der Ereigniszuordnungsdetails.
    • Erfassen Sie historische beachtenswerte Ereignisse sowie laufende, neue und aktualisierte beachtenswerte Ereignisse in konfigurierbaren Intervallen.
    • Filtern Sie wichtige Ereignisse heraus, die die SIR-Kriterien für die Incident-Generierung nicht erfüllen, z. B. Ereignisse mit niedriger Priorität, Ereignisse, die einen bestimmten Status noch nicht erreicht haben, usw.
    • Fassen Sie Ereignisse oder Warnungen zu vorhandenen SIR Security Incidents basierend auf übereinstimmenden Feldwerten zusammen, um doppelte Security Incidents zu vermeiden.
    • Aktualisieren Sie wichtige Ereignisse basierend auf den Bedingungen für die Erstellung und/oder den Abschluss von SIR-Incidents über eine bidirektionale Schnittstelle, um die Aktualisierung von wichtigen Ereignissen ServiceNowSplunk ES mit dem SIR-Incident-Status [] synchron zu halten.

    Unterstützte Versionen Now Platform .

    Das Plugin „com.snc.si_dep“ ist für diese Integration erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen Security Operations -Anwendungen installieren und aktivieren.

    Die folgenden Security Operations -Anwendungen müssen über ServiceNow Store] installiert und aktiviert werden. Installieren Sie eine Anwendung nach der anderen in der unten aufgeführten Reihenfolge, und aktivieren Sie sie dann, um eine reibungslose Installation zu gewährleisten:
    1. Security Integration Framework
    2. Security Support Common
    3. Security Incident Response

    Weitere Informationen zur Installation der Security Operations -Core-Anwendungen finden Sie unter und .

    ServiceNow Add-ons

    Das ServiceNow Security Operations Event Ingestion Add-on für Splunk ES ist nur erforderlich, wenn Sie Ereignisse manuell von Ihrer Splunk Enterprise Security Incident Review-Konsole an Ihre Now Platform Instanz weiterleiten möchten. Das Add-on ServiceNow ist in splunkbaseverfügbar.

    Dieses ServiceNow Security Operations Event Ingestion Add-on für die Anwendung Splunk Enterprise in Splunkbase ist für die automatisierte Warnungserfassung, die von der Integration unterstützt wird, nicht erforderlich.

    Von Splunk unterstützte Versionen

    Diese Integration wurde mit Splunk Enterprise Version 8.0.1 und mit Splunk Enterprise Security Anwendungsversion 6.2.1 getestet.

    MID-Server

    Diese Integration erfordert einen installierten und konfigurierten MID-Server in Ihrer Instanz Now Platform®, um eine Verbindung zum Service Splunk herzustellen, wenn der Server Splunk innerhalb Ihres Unternehmensnetzwerks bereitgestellt wird. Wenn Sie den Service Splunk Cloud verwenden, ist kein MID-Server erforderlich. Weitere Informationen zu MID-Servern finden Sie unter MID- Server.

    Referenzen

    Referenz Dokumentbezeichner Dokumententitel
    1

    Splunk Produktwebsite

    		 Produktwebsite von Splunk Enterprise Security

    Prüfliste

    Eine Druckliste dieser Themen finden Sie unter Prüfliste für die Splunk Enterprise Security Integration „Notable Event Ingestion“.. Sie können diese Liste verwenden, um Ihren Fortschritt bei der Bearbeitung der Aufgaben der Integration zu überwachen.