Splunk Enterprise Security Intégration de l’ingestion d’événements
L’intégration Splunk Enterprise Security de l’ingestion d’événements notables avec le Réponse aux incidents de sécurité produit (SIR) permet aux analystes d’incidents de sécurité de collecter et de traiter les données d’événements notables (appelés notables).
Vue d’ensemble de l’intégration de l’ingestion d’événements Splunk Enterprise Security
Les données sont ingérées en permanence en fonction d’un calendrier d’interrogation configuré et sont utilisées par les analystes pour identifier les cybermenaces potentielles et y répondre. Les événements de sécurité collectés peuvent être corrélés en événements notables, puis ingérés automatiquement grâce Splunk Enterprise Security à cette intégration. En outre, les événements notables individuels peuvent être transmis manuellement à la demande à partir de la console d’examen Splunk Enterprise Security des incidents et de l’interface de génération de rapports dans le Réponse aux incidents de sécurité produit pour créer des incidents de ServiceNow AI Platform sécurité.
Cette intégration fournit à un analyste du centre des opérations de sécurité (SOC) une visibilité sur les événements notables et les données connexes. Ces données peuvent être intégrées dans ServiceNow AI Platform Réponse aux incidents de sécurité des incidents de sécurité pourSIR une enquête et une correction plus approfondies. Les profils sont créés dans votre ServiceNow AI Platform instance pour gérer différents types d’événements notables créés via des recherches de corrélation dans Splunk Enterprise Security. Ces profils personnalisent la façon dont les différents Splunk champs d’événement sont affichés sur SIR les incidents de sécurité.
Fonctionnalités principales
Cette intégration comprend les fonctionnalités clés suivantes :
- Créez plusieurs profils d’ingestion d’événements notables pour créer des incidents de sécurité SIR pour des types spécifiques de menaces tels que l’hameçonnage, les programmes malveillants et les tentatives d’accès non autorisé.
- Créez plusieurs profils d’événements pour le transfert d’événements sur demande à partir de votre Splunk ES console d’examen d’incident afin de créer des incidents de sécurité SIR.
- Mappage par glisser-déplacer des valeurs de champs d’événements Splunk notables vers les champs d’incident de sécurité SIR associés.
- Un aperçu de la mise en page de l’incident SIR de sécurité basé sur des exemples d’événements notables pour valider les détails du mappage d’événements.
- Ingérez des événements notables historiques ainsi que des événements notables en cours, nouveaux et mis à jour sur des intervalles configurables.
- Filtrez les événements notables qui ne répondent pas aux critères de génération d’incidents SIR, par exemple, les événements de priorité faible, les événements qui n’ont pas encore atteint un état spécifique, et ainsi de suite.
- Regroupez les événements ou les alertes des incidents de sécurité existants SIR en fonction des valeurs de champ correspondantes pour éviter les incidents de sécurité en double.
- Mettez à jour les événements notables en fonction des conditions de création et/ou de fermeture d’incidents SIR via une interface bidirectionnelle pour que Splunk ES les mises à jour des événements notables soient synchronisées avec l’état de l’incident ServiceNow SIR.
Versions prises en charge ServiceNow AI Platform
Le module d’extension com.snc.si_dep est requis pour cette intégration. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications.
- Cadre de travail d’intégration de sécurité
- Prise en charge de la sécurité commune
- Réponse aux incidents de sécurité
Pour plus d’informations sur l’installation des Opérations de sécurité applications principales, reportez-vous aux sections Obtenir un droit pour un produit ou une Opérations de sécurité application et Activer une ServiceNow Store application.
ServiceNow Modules complémentaires
Le ServiceNow module complémentaire d’ingestion d’événements Security Operations n’est Splunk ES requis que si vous préférez transférer les événements manuellement depuis votre Splunk Enterprise Security console Incident Review vers votre ServiceNow AI Platform instance. Cet ServiceNow addon est disponible dans splunkbase.
Ce ServiceNow module complémentaire d’ingestion d’événements Security Operations pour Splunk Enterprise l’application dans Splunkbase n’est pas requis pour l’ingestion automatisée d’alertes prise en charge par l’intégration.
Versions prises en charge par Splunk
- Splunk Enterprise versions 10.0.0 et antérieures.
- Splunk Enterprise Application de sécurité version 8.3.0 et antérieure.
Serveur MID
Cette intégration nécessite l’installation et la configuration d’un serveur MID dans votre ServiceNow AI Platform® instance pour se connecter au Splunk service lorsque le Splunk serveur est déployé au sein de votre réseau d’entreprise. Si vous utilisez le service, un serveur MID n’est Splunk Cloud pas nécessaire. Voir Serveur MID pour plus d’informations sur les serveurs MID.
Références
| Référence | Identificateur de document | Titre de document |
|---|---|---|
| 1 | Splunk Site Web du produit |
Site Web du produit Splunk Enterprise Security. |
Liste de vérification
Pour obtenir une liste de contrôle imprimable de ces sujets, reportez-vous à la section Liste de vérification pour Splunk Enterprise Security l’intégration de l’ingestion d’événements notables. Vous pouvez utiliser cette liste pour suivre votre progression pendant que vous accomplissez les tâches de l’intégration.