Splunk Enterprise Event Ingestion intégration pour Opérations de sécurité par ServiceNow
L’intégration Splunk Enterprise des données d’événements et d’alertes avec le Réponse aux incidents de sécurité produit (SIR) permet aux analystes d’incidents de sécurité de collecter et de traiter les journaux de sécurité et les données d’événement connexes.
Vue d'ensemble de Splunk Enterprise Event Ingestion
Les données sont collectées en temps réel et utilisées par les analystes pour identifier et signaler les cybermenaces potentielles. Les événements de sécurité collectés peuvent être transformés en alertes déclenchées qui sont ingérées automatiquement avec cette intégration. En outre, les événements de sécurité individuels peuvent être transférés manuellement à la demande depuis l’interface Splunk Enterprise de recherche et de reporting vers le Réponse aux incidents de sécurité produit de pour ServiceNow AI Platform créer des incidents de sécurité. Vous pouvez récupérer les événements notables à partir d’une Splunk Enterprise recherche avec la configuration de grappe de tête de recherche. Vous pouvez y parvenir en utilisant l’URL et le port API de n’importe quelle tête de recherche faisant partie du cluster.
Cette intégration fournit à un analyste du centre des opérations de sécurité (SOC) une visibilité sur les événements et les données d’alerte connexes. Ces données peuvent être intégrées dans ServiceNow AI Platform Réponse aux incidents de sécurité des incidents de sécurité pourSIR une enquête et une correction plus approfondies. Les profils des Splunk alertes ingérées en cours et des événements transférés sont créés dans votre ServiceNow AI Platform instance. Ces profils personnalisent la façon dont les différents Splunk champs d’alerte et d’événement sont affichés sur SIR les incidents de sécurité. Un mappage par défaut des champs d’alerte est fourni ; il peut être modifié et complété pour répondre aux besoins spécifiques du client.
Fonctionnalités principales
Cette intégration comprend les fonctionnalités clés suivantes :
- Créez plusieurs profils d’ingestion d’alertes pour créer des incidents de sécurité SIR pour des types spécifiques de menaces tels que l’hameçonnage et les programmes malveillants.
- Créez plusieurs profils d’événements pour le transfert d’événements à la demande à partir de votre Splunk console afin de créer des incidents de sécurité SIR.
- Mappage par glisser-déplacer des valeurs de champ d’alerte et d’événement Splunk vers les champs d’incident de sécurité SIR associés.
- Aperçu de la mise en page de l’incident de sécurité basé sur des exemples d’alertes ou d’événements pour valider la SIR configuration du profil.
- Ingérez des alertes historiques ainsi que des alertes futures en cours à des intervalles configurables.
- Regroupez les événements ou les alertes des incidents de sécurité existants SIR en fonction des valeurs de champ correspondantes pour éviter les incidents de sécurité en double.
Versions prises en charge ServiceNow AI Platform
Le module d’extension com.snc.si_dep est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications.
- Cadre de travail d’intégration de sécurité
- Prise en charge de la sécurité commune
- Orchestration de support de sécurité
- Réponse aux incidents de sécurité
Pour plus d’informations sur l’installation des Opérations de sécurité applications principales, reportez-vous aux sections Obtenir un droit pour un produit ou une Opérations de sécurité application et Activer une ServiceNow Store application.
ServiceNow Modules complémentaires
Le ServiceNow module complémentaire d’ingestion des événements Security Operations pour Splunk Enterprise n’est requis que si vous préférez transférer les événements manuellement de votre Splunk Enterprise console vers votre ServiceNow AI Platform instance. Cet ServiceNow addon est disponible dans splunkbase.
Ce ServiceNow module complémentaire d’ingestion d’événements Security Operations pour Splunk Enterprise l’application dans Splunkbase n’est pas requis pour l’ingestion automatisée d’alertes prise en charge par l’intégration.
Versions prises en charge par Splunk
Cette intégration prend en charge la version 6.0 ou ultérieure de Splunk Enterprise. L’intégration prend également en charge le Splunk service Enterprise Cloud.
Serveur MID
Cette intégration nécessite l’installation et la configuration d’un serveur MID dans votre ServiceNow AI Platform® instance pour vous connecter au Splunk service si le Splunk serveur est déployé au sein de votre réseau d’entreprise. Si vous utilisez le service, un serveur MID n’est Splunk Cloud pas nécessaire. Pour plus d’informations sur les serveurs MID, voir Serveur MID.
Architecture d’intégration et connexion des systèmes
Pour plus d’informations sur l’architecture de l’intégration, y compris les termes clés et les détails de connexion des systèmes externes, reportez-vous à la section Architecture d’intégration et connexion des systèmes externes pour l’intégration Splunk Enterprise Event Ingestion.
Liste de vérification
Pour obtenir une liste de contrôle imprimable de ces sujets, reportez-vous à la section Liste de vérification pour Splunk Enterprise Security l’intégration de l’ingestion d’événements notables. Vous pouvez utiliser cette liste pour suivre votre progression pendant que vous accomplissez les tâches de l’intégration.
Les images utilisées dans les rubriques suivantes ont été générées pour la version Kingston du ServiceNow AI Platform. Pour plus d’informations sur l’interface utilisateur San Diego, consultez Gérer les menaces de sécurité à l’aide de l’espace de travail de l’analyste de sécurité.
Les rubriques suivantes sont numérotées. Suivez les rubriques répertoriées ci-dessous dans l’ordre dans lequel elles sont présentées pour une installation et une configuration fluides de l’application.