Configurer TISC le complément dans Splunk

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Configurez le TISC module complémentaire Splunk pour connecter votre compte, définir les entrées de données et extraire les enregistrements d’observables dans le magasin KV à des fins de recherche et d’analyse.

    Avant de commencer

    Rôle requis : Splunk admin

    Pourquoi et quand exécuter cette tâche

    Le TISC module complémentaire connecte votre ServiceNow compte et Splunk extrait les enregistrements observables dans le magasin KV.

    Procédure

    1. Recherchez Centre de sécurité des renseignements sur les menaces pour l’application Splunk dans le panneau de navigation de gauche.
    2. Sélectionnez Configurer dans la colonne Actions .
      La page Configuration s’affiche et vous pouvez configurer votre ServiceNow TISC compte.
    3. Sélectionnez Ajouter.
    4. Remplissez les champs du formulaire.
      Champ Description
      Ajouter des comptes
      Nom Nom unique pour le compte.
      Nom d'utilisateur Le ServiceNow nom d’utilisateur du compte. Vous pouvez utiliser le même nom d’utilisateur que celui créé lors de la création du rôle [sn_sec_tisc.api_obs_read_access] à l’étape précédente.
      Mot de passe Le ServiceNow mot de passe du compte.
      URL de l'instance L’URL ServiceNow de l’instance.
    5. Sélectionnez Ajouter.
      Le ServiceNow compte d’instance Splunk est ajouté au .
    6. Accédez à la page Entrées pour gérer vos entrées de données pour votre ServiceNow compte.
    7. Sélectionnez Créer une entrée.
      La boîte de dialogue Ajouter une entrée s’affiche pour vous permettre d’ajouter les entrées à votre ServiceNow compte. Une fois l’ensemble d’entrées défini, l’application envoie les informations à l’instance TISC pour récupérer un nombre spécifique d’observables qui répondent aux critères.
    8. Renseignez les détails de l’entrée, le cas échéant.
      Champ Description
      Nom Un nom unique pour votre entrée. Par exemple, la liste des adresses IP malveillantes.
      Compte Le ServiceNow nom d’utilisateur du compte. Vous pouvez utiliser le même nom d’utilisateur que celui créé avec le rôle sn_sec_tisc.api_obs_read_access à l’étape précédente.
      Intervalle Définir l’intervalle de temps en secondes pour récupérer les données à partir de TISC.
      Période d’expiration (en jours) Option permettant de définir la période d’expiration en jours.
      Remarque :
      L’expiration de l’échantillon est fixée à 30 jours. Par exemple, lorsque les données sont extraites à une date spécifique, un ensemble de 10 000 enregistrements peut être récupéré. Ces enregistrements sont stockés dans le magasin KV (clé-valeur) dans .Splunk À partir de la date d’ingérence, les enregistrements sont conservés pendant 30 jours. Le 31e jour, ils sont automatiquement supprimés de la boutique KV.
      Ne jamais expirer Choisissez cette option si vous ne souhaitez pas faire expirer les enregistrements ingérés.
      Attributs supplémentaires Attributs supplémentaires de la liste des options recommandées à inclure dans le magasin KV. Les attributs doivent être séparés par des virgules.

      Une liste des attributs autorisés est fournie dans la table qui suit la table des attributs obligatoires.
      Filtres Conditions qui déterminent quelles données sont importées et filtrées.

      Pour définir les conditions de filtre, vous pouvez définir les critères en fonction des champs tels que le score de menace, le niveau de fiabilité et le type.

      Pour les conditions simples, utilisez cette option de filtrage. Pour les conditions complexes, ajoutez des filtres JSON.
      • Les opérateurs d’entiers autorisés sont :

        "=", "!=", ">", "<", ">=", "<="

      • Les opérateurs de chaîne autorisés sont les suivants :

        « = », « != », « IN »

      Exemple d’un filtre simple :

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON Filtres basés sur JSON pour définir des conditions plus complexes.
      Exemple de filtre avancé :
      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      Remarque :
      Les comptes sont actifs par défaut, mais les entrées sont inactives par défaut. Activez les entrées pour commencer à importer des données. Pour connaître les filtres possibles, reportez-vous à Observable_filters section dans Ajoute des enregistrements sources d’observables à l’application Centre de sécurité des renseignements sur les menaces (TISC).
    9. Sélectionnez Ajouter pour enregistrer les entrées.
    10. Sélectionnez Cloner pour copier et créer un compte basé sur le compte existant.
      Désactivez l’entrée avant la copie pour éviter de créer des entrées en double lors de l’importation de données à l’aide des mêmes critères.
    11. Examinez les informations récupérées et stockées dans le magasin KV à l’intérieur Splunk , ainsi que les enregistrements extraits de TISC.
      Champ Description
      fiabilité Indique le niveau de confiance associé à l’exactitude du score de menace.
      [kvlookup_created_time] Indique l’heure de création de l’enregistrement dans le magasin de valeurs clés.
      [kvlookup_days_till_expiry] Indique le nombre de jours avant que l’enregistrement ne soit supprimé du magasin KV.
      instance_url Indique l’URL de l’instance ServiceNow .
      Réputation Indique la réputation de l’entité impliquée.
      source_reported_score Le score source rapporté de TISC.
      sys_id ID système de l’enregistrement de TISC.
      threat_level Indique le niveau de gravité de la menace.
      threat_score Score indiquant le niveau de menace associé à un enregistrement.
      threat_severity Indique la gravité de la menace de l’observable.
      type Indique le type d’observables.
      updated_by Utilisateur qui a mis à jour l’enregistrement pour la dernière fois.
      kvlookup_updated_time Indique l’horodatage de la dernière mise à jour de l’enregistrement dans le magasin de valeurs clés.
      valide Valeur de l’enregistrement. Par exemple, adresse IP, hachage et valeurs similaires.
      Tableau 1. Attributs supplémentaires
      Champ Description
      additional_context Tout contexte supplémentaire pour l’observable.
      attack_phases Indique les phases d’attaque d’une chaîne de frappe telle que LM, MITRE ATT&CK.
      auteur Nom de l’auteur.
      commentaires Tout commentaire supplémentaire pour l’observable.
      création Indique quand l’observable a été créé.
      description Description de l’observable.
      expiration_time Spécifie le délai d’expiration de l’enregistrement de l’observable.
      extensions Indique les extensions d’un observable.
      first_observed La première fois que les données ont été observées.
      first_seen La première fois que cet enregistrement a été vu en train d’effectuer des activités malveillantes.
      historically_significant Indique si l’observable est considéré comme historiquement significatif. Ce TISC marqueur système est utilisé pour exclure l’observable de l’archivage.
      id Identificateur unique affecté à l’observable par le TISC système.
      is_defanged Marqueur indiquant si la valeur de l’observable a été neutralisée.
      is_false_positive Marqueur booléen qui indique si un observable est identifié comme faux positif.
      language Indique la langue du contenu textuel de cet objet.
      last_observed Dernière observation des données.
      last_seen Heure à laquelle cet objet a été vu pour la dernière fois en train d’effectuer des activités malveillantes.
      notes Toutes les notes supplémentaires pour l’enregistrement de l’observable.
      Numéro Numéro généré par le système affecté à l’observable par TISC.
      security_type Spécifie si l’observable appartient à la liste d’autorisation ou à la liste de refus.
      no_of_sources Représente le nombre de sources uniques qui ont contribué à l’observable.
      sources Spécifie la source de menace à partir de laquelle cet enregistrement est créé.
      statut État de l’observable : actif ou inactif.
      tisc_tags Balises TISC associées à l’observable.
      Taxonomies Taxonomie associée à l’observable.
      TLP (en anglais seulement) Valeur unique qui indique le paramètre de sensibilité des données par TLP.
      mises à jour Indique quand l’enregistrement de l’observable a été mis à jour pour la dernière fois
      usage_categories Catégories auxquelles appartient l’observable, telles que botnet ou hameçonnage.
      watch_list Marqueur spécifiant si l’observable est inclus dans la liste de surveillance.

      Ces champs, ainsi que tous les autres champs définis par vos critères, seront disponibles et Splunk peuvent être consultés, recherchés et analysés via l’onglet Recherche.