Für diese Integration verwendete Schlüsselbegriffe

Die folgenden Schlüsselbegriffe werden während der Installation und Konfiguration von verwendet. Weitere Informationen zu diesen Begriffen finden Sie auf der Website mit der Produktdokumentation von ServiceNow sowie auf der Splunk-Website und auf der Seite „Splunk-Ressourcen“.

Now Platform

Ein Produkt des Unternehmens ServiceNow. Now Platform ist die Basis, auf der einzelne Komponenten wie Security Incident Response (SIR), IT Service Management (ITSM) und andere -Produkte aufbauen.

ServiceNow Splunkbase-Add-on

Eine ServiceNow -Anwendung, die auf Ihrer Splunk Enterprise -Konsole installiert ist und die manuelle Ereignisweiterleitungsoption der Integration unterstützt. Die manuelle Ereignisweiterleitung ist eine optionale Funktion der Integration. Dieses ServiceNow Splunkbase-Add-on ist für die von der -Integration bereitgestellte automatisierte Warnungserfassung nicht erforderlich.

Security Incident Response (SIR)

Eine Anwendung Now Platform, die den Fortschritt von Security Incidents von der Discovery und der ersten Analyse über die Eindämmung, Beseitigung und Wiederherstellung bis hin zur abschließenden Überprüfung und Schließung nach Incident verfolgt.

Splunk Enterprise

Ein automatisiertes SIEM-Produkt (Security Incident Event Management) oder ein Cloud-Service, das Daten sammelt, die für die Analyse und Verwaltung von Incidents verwendet werden. Dieser Service befindet sich auf einem Host, der in diesem Handbuch manchmal auch als Splunk -Konsole bezeichnet wird.

Splunk Warnung

Eine Suche, die Sie konfigurieren und in Splunk speichern, um anhand der von Ihnen im Service Splunk Enterprise eingerichteten Parameter nach bestimmten Daten zu suchen. Wenn Sie Warnungen aus Splunkabrufen, rufen Sie auch alle Ereignisse ab, die dieser Warnung zugeordnet sind.

Splunk hat Warnung ausgelöst

Eine konfigurierte Suche in der Konsole Splunk Enterprise, die Ergebnisse zurückgibt und diese Ergebnisse als ausgelöste Warnungen kennzeichnet. Die ausgelösten Warnungen werden für diese Integration von der Konsole Splunk in Ihrer Instanz Now Platform erfasst. Ausgelöste Warnungen haben mindestens ein Ereignis Splunk.

Splunk Termin

Mindestens ein Datenelement, das zu den ausgelösten Warnungen des Service Splunk führt. In Ihrer Instanz Now Platform können Sie nachschlagen, welche Splunk Ereignisse die Security Incidents Now Platform vom Typ ausgelöst haben.

MID-Server

Diese Anwendung erleichtert die Kommunikation und das Verschieben von Daten zwischen Now Platform und externen Anwendungen, Datenquellen und Services. Diese Anwendung ist normalerweise für die Integration mit lokalen Technologien erforderlich, und für diese Splunk Enterprise Event Ingestion -Integration vereinfacht der MID-Server die Kommunikation zwischen Now Platform und der lokalen Instanz von Splunk Enterprise. Ein MID-Server ist nicht erforderlich, wenn Sie Ihre Now Platform -Instanz mit einer Splunk Cloud -Instanz integrieren.

Security Incident-Administrator (sn_si.admin)

Der Benutzer mit dieser Rolle überwacht die Konfiguration der Integration mit dem Produkt SIR in Ihrer Instanz Now Platform.

Security Incident-Analyst (sn_si.analyst)

Der Benutzer mit dieser Rolle interagiert mit Security Incidents im Produkt ServiceNow Security Incident Response und analysiert sie.

Verbindung mit externen Systemen

Ein Ereignisprofil ist ein Container, den Sie für eine einzelne Verbindung erstellen, benennen und konfigurieren. Anschließend rufen Sie den Service Splunk auf, um die neuesten ausgelösten Warnungen abzurufen, die bestimmten Kriterien entsprechen. Nachdem ausgelöste Warnungen, die Ihrem Profil entsprechen, aus Splunkabgerufen wurden, wählen Sie aus, welche dieser Warnungen als Now Platform Security Incident Response SIR Security Incident angezeigt werden sollen. Eine Standardansicht der Warnungsfelder Splunk Enterprise ist verfügbar, und Sie bearbeiten diese Zuordnung von Warnungsfeldern zu den Feldern in einem SIR -Security Incident entsprechend Ihren Anforderungen. Zeigen Sie eine Vorschau Ihrer Zuordnung an, um zu überprüfen, ob alle erforderlichen Warnungsfeldwerte im Security Incident SIR ausgefüllt sind. Um die Konfiguration des Warnungsprofils abzuschließen, planen Sie den Abruf von Warnungen und aktivieren dann das Profil. Nachdem Sie das Profil in Now Platformaktiviert haben, können Sie historische und laufende Warnungen Splunk automatisch erfassen.

Wenn Sie als Benutzer mit der Rolle sn_si.admin feststellen, dass eine neue ausgelöste Warnung zuvor erfassten Warnungen ähnelt, können Sie neu ausgelöste Warnungen zu vorhandenen Security Incidents SIR zusammenfassen. Sie legen Kriterien fest, um übereinstimmende Zielfeldwerte im Warnungsprofil Splunk Enterprise anzugeben, die definieren, wann ein vorhandener Security Incident aktualisiert wird und wann ein neuer Security Incident erstellt wird. Wenn in Ihrem Ereignisprofil die Zusammenfassungsfunktion aktiviert ist, sucht Ihre Instanz Now Platform bei der Transformation des Importsatzes nach einem vorhandenen Datensatz in der Zieltabelle, der denselben Wert in den Feldern „Ziel“ und „Quelle“ aufweist. Wenn ein vorhandener Datensatz mit einem übereinstimmenden Wert in der Zieltabelle gefunden wird, wird dieser Datensatz aktualisiert. Wenn kein übereinstimmender Datensatz gefunden wird, wird ein neuer Datensatz in der Zieltabelle erstellt. Wenn diese Option aktiviert ist, aktualisiert die Zusammenfassungsoption vorhandene Security Incidents mit neuen ausgelösten Warnungen, und Sie vermeiden die Erstellung mehrerer Security Incidents. Weitere Informationen zum Aktualisieren von Datensätzen mithilfe von Zusammenfassungsoptionen finden Sie unter Datensätze durch Zusammenfügung aktualisieren.

Diese Anwendung verwendet den API-Service Splunk, um Informationen vom Service Splunk abzurufen. Eine ausgehende HTTPS-Verbindung vom MID-Server zu dieser Umgebung ist erforderlich, damit die Integration ordnungsgemäß funktioniert.

Nach der Verbindung mit dem Service Splunk unterstützt die Integration das Abrufen und Erfassen von ausgelösten Warnungen und Ereignissen, die Security Incidents auslösen.

Der grundlegende Daten-Flow ist in den folgenden Abbildungen dargestellt. In jeder Abbildung ruft Ihr Now Platform Daten ab (erfasst sie). Splunk sendet keine Daten für geplante Warnungen.