Splunk Enterprise Event Ingestion integration for Security Operations by ServiceNow

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Die Integration von Splunk Enterprise Ereignis- und Warnungsdaten mit dem Produkt Security Incident Response (SIR) ermöglicht Security Incident-Analysten das Erfassen und Verarbeiten von Sicherheitsprotokollen und zugehörigen Ereignisdaten.

    Übersicht

    Daten werden in Echtzeit gesammelt und von Analysten verwendet, um potenzielle Cyberbedrohungen zu identifizieren und entsprechende Berichte zu erstellen. Die gesammelten Sicherheitsereignisse können in ausgelösten Warnungen verarbeitet werden, die mit dieser Integration automatisch erfasst werden. Außerdem können einzelne Sicherheitsereignisse bei Bedarf manuell von der Such- und Berichterstellungsschnittstelle Splunk EnterpriseSecurity Incident Response ] an das Produkt von Now Platform weitergeleitet werden, um Security Incidents zu erstellen. Sie können wichtige Ereignisse aus der Suche Splunk Enterprise mit der Suchkopf-Clusterkonfiguration abrufen. Sie können dies erreichen, indem Sie die URL und den API-Port eines beliebigen Suchkopfs verwenden, der Teil des Clusters ist.

    Diese Integration bietet einem SOC-Analysten (Security Operations Center) Einblick in Ereignisse und zugehörige Warnungsdaten. Diese Daten können zur weiteren Untersuchung und Behebung in Security Incidents Now Platform Security Incident Response (SIR) integriert werden. In Ihrer Instanz von Now Platform ] werden Profile für Splunk laufende erfasste Warnungen und weitergeleitete Ereignisse erstellt. Diese Profile passen an, wie verschiedene Splunk -Warnungs- und Ereignis-Felder in SIR -Security Incidents angezeigt werden. Es wird eine Standardzuordnung von Warnungsfeldern bereitgestellt, die bearbeitet und erweitert werden kann, um kundenspezifische Anforderungen zu erfüllen.

    Schlüsselfunktionen

    Diese Integration umfasst die folgenden Schlüsselfunktionen:

    • Erstellen Sie mehrere Warnungserfassungsprofile, um SIR-Security Incidents für bestimmte Arten von Bedrohungen wie Phishing und Malware zu erstellen.
    • Erstellen Sie mehrere Ereignisprofile für die bedarfsgesteuerte Ereignisweiterleitung über Ihre -Konsole Splunk, um SIR -Security Incidents zu erstellen.
    • Drag-and-Drop-Zuordnung von Splunk Warnungs- und Ereignisfeldwerten zu zugehörigen SIR-Security Incident-Feldern.
    • Eine Vorschau des Security Incident-Layouts SIR basierend auf Beispielwarnungen oder -ereignissen zur Validierung der Profilkonfiguration.
    • Erfassung historischer Warnungen sowie laufender, zukünftiger Warnungen in konfigurierbaren Intervallen.
    • Fassen Sie Ereignisse oder Warnungen zu vorhandenen SIR Security Incidents basierend auf übereinstimmenden Feldwerten zusammen, um doppelte Security Incidents zu vermeiden.

    Unterstützte Versionen Now Platform .

    Das Plugin com.snc.si_dep ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen Security Operations -Anwendungen installieren und aktivieren.

    Die folgenden Security Operations -Anwendungen müssen über ServiceNow Store] installiert und aktiviert werden. Installieren Sie eine Anwendung nach der anderen in der unten aufgeführten Reihenfolge, und aktivieren Sie sie dann, um eine reibungslose Installation zu gewährleisten:
    1. Security Integration Framework
    2. Security Support Common
    3. Security Support Orchestration
    4. Security Incident Response

    Weitere Informationen zur Installation der Security Operations -Core-Anwendungen finden Sie unter und .

    ServiceNow Add-ons

    Das ServiceNow Security Operations Event Ingestion Add-on für Splunk Enterprise ist nur erforderlich, wenn Sie Ereignisse manuell von Ihrer Splunk Enterprise -Konsole an Ihre Now Platform -Instanz weiterleiten möchten. Das Add-on ServiceNow ist in splunkbaseverfügbar.

    Dieses ServiceNow Security Operations Event Ingestion Add-on für die Anwendung Splunk Enterprise in Splunkbase ist für die automatisierte Warnungserfassung, die von der Integration unterstützt wird, nicht erforderlich.

    Von Splunk unterstützte Versionen

    Diese Integration unterstützt Version 6.0 oder höher von Splunk Enterprise. Die -Integration unterstützt auch den Enterprise Cloud-Service Splunk.

    MID-Server

    Diese Integration erfordert einen installierten und konfigurierten MID-Server in Ihrer Instanz Now Platform®, um eine Verbindung zum Service Splunk herzustellen, wenn der Server Splunk innerhalb Ihres Unternehmensnetzwerks bereitgestellt wird. Wenn Sie den Service Splunk Cloud verwenden, ist kein MID-Server erforderlich. Weitere Informationen zu MID-Servern finden Sie unter MID-Server.

    Integrationsarchitektur und Systemverbindung

    Weitere Informationen zur Architektur der Integration, einschließlich wichtiger Begriffe und Details zu Verbindungen externer Systeme, finden Sie unter Integrationsarchitektur und externe Systemverbindung für die Splunk Enterprise Event Ingestion -Integration.

    Prüfliste

    Eine Druckliste dieser Themen finden Sie unter Prüfliste für die Splunk Enterprise Security Integration „Notable Event Ingestion“.. Sie können diese Liste verwenden, um Ihren Fortschritt bei der Bearbeitung der Aufgaben der Integration zu überwachen.

    Die in den folgenden Themen verwendeten Bilder wurden für das Kingston-Release von Now Platformgeneriert. Informationen zur San Diego-Anwenderoberfläche finden Sie unter Sicherheitsbedrohungen mit dem Security Analyst Workspace verwalten.

    Die folgenden Themen sind nummeriert. Befolgen Sie die unten in der Reihenfolge aufgeführten Themen, um eine reibungslose Installation und Konfiguration der Anwendung zu gewährleisten.