TISC integration with Splunk
Die Integration von Threat Intelligence-Sicherheitszentrum (TISC) und Splunk ermöglicht es Benutzern, relevante Daten erkennbarer Threat Intelligence-Elemente zu filtern und in Splunkabzurufen. In Splunkkönnen Benutzer mit diesen Daten Sicherheitswarnungen generieren.
Erforderliche Rolle: Splunk-Administrator
Mit der TISC-Add-on-Anwendung können Sie das Intervall konfigurieren, in dem Sie erkennbare Elemente aus der TISC-Instanz ServiceNow abrufen können.
Dieses Intervall bestimmt, wie häufig die Anwendung Anforderungen an ServiceNow stellen und die Daten der erkennbaren Elemente abrufen kann. Außerdem können Sie Filter definieren und anwenden, um die erkennbaren Elemente anzugeben, die Sie aus der TISC-Instanz ServiceNow abrufen möchten.
Sobald die erkennbaren Elemente aus ServiceNowabgerufen wurden, werden die Daten der erkennbaren Elemente im KV Store (Schlüssel-Wert-Speicher) von Splunk gespeichert, und Sie können die Korrelationsregeln für den Satz der abgerufenen erkennbaren Elemente weiter schreiben.