Splunk Enterprise Security Intégration de l’ingestion d’événements for Security Operations by ServiceNow
L’intégration Splunk Enterprise Security de l’ingestion d’événements notables avec le Réponse aux incidents de sécurité produit (SIR) permet aux analystes d’incidents de sécurité de collecter et de traiter des données d’événements notables (appelées notables).
Vue d'ensemble
Les données sont ingérées en continu en fonction d’un calendrier d’interrogation configuré et sont utilisées par les analystes pour identifier les cybermenaces potentielles et y répondre. Les événements de sécurité collectés peuvent être corrélés en événements notables dans Splunk Enterprise Security cette intégration, puis ingérés automatiquement. En outre, les événements notables individuels peuvent être transférés manuellement sur demande à partir de la Splunk Enterprise Security console de revue des incidents et de l’interface de génération de rapports vers le produit de pour Réponse aux incidents de sécuritéNow Platform créer des incidents de sécurité.
Cette intégration permet à un analyste du centre des opérations de sécurité (SOC) d’avoir une visibilité sur les événements notables et les données d’événements contributifs connexes. Ces données peuvent être intégrées dans Now Platform Réponse aux incidents de sécurité (SIR) des incidents de sécurité à des fins d’investigation et de correction plus approfondies. Les profils sont créés dans votre Now Platform instance pour gérer différents types d’événements notables créés via des recherches de corrélation dans Splunk Enterprise Security. Ces profils personnalisent la façon dont les différents Splunk champs d’événement sont affichés sur SIR les incidents de sécurité.
Fonctionnalités principales
Cette intégration comprend les fonctionnalités clés suivantes :
- Créez plusieurs profils d’ingestion d’événements notables pour créer des incidents de sécurité SIR pour des types de menaces spécifiques, comme le hameçonnage, les programmes malveillants et les tentatives d’accès non autorisé.
- Créez plusieurs profils d’événements pour le transfert d’événements à la demande à partir de votre Splunk ES console d’examen des incidents afin de créer des incidents de sécurité SIR.
- Glisser-déplacer le mappage des valeurs de champ d’événement Splunk notable vers les champs d’incident de sécurité SIR associés.
- Aperçu de la mise en page de l’incident de sécurité basé sur des exemples d’événements notables pour valider les SIR détails du mappage d’événements.
- Ingérer les événements notables historiques ainsi que les événements notables en cours, nouveaux et mis à jour à intervalles configurables.
- Filtrez les événements notables qui ne répondent pas aux critères de génération d’incidents SIR, par exemple, les événements de faible priorité, les événements qui n’ont pas encore atteint un état spécifique, etc.
- Regroupez les événements ou les alertes pour les incidents de sécurité existants SIR en fonction des valeurs de champ correspondantes afin d’éviter les incidents de sécurité en double.
- Mettez à jour les événements notables en fonction des conditions de création et/ou de fermeture des incidents SIR via une interface bidirectionnelle pour synchroniser Splunk ES les mises à jour des événements notables avec l’état de l’incident ServiceNow SIR.
Versions prises en charge Now Platform
Le module d’extension com.snc.si_dep est requis pour cette intégration. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Security Operations applications.
- Cadre de travail des intégrations de sécurité
- Security Support Common
- Réponse aux incidents de sécurité
Pour plus d’informations sur l’installation des Security Operations applications principales, reportez-vous aux sections Obtenir une autorisation pour un produit ou une Security Operations application et Activer une ServiceNow Store application.
ServiceNow Addons
Le module complémentaire d’ingestion d’événements pour Security Operations n’est ServiceNow requis que si vous préférez transférer manuellement les événements à partir de votre Splunk Enterprise Security console de revue des incidents vers Splunk ES votre Now Platform instance. Cet ServiceNow addon est disponible dans splunkbase.
Ce ServiceNow module complémentaire d’ingestion d’événements Security Operations pour Splunk Enterprise l’application dans splunkbase n’est pas requis pour l’ingestion automatisée d’alertes prise en charge par l’intégration.
Versions prises en charge par Splunk
Cette intégration a été testée avec Splunk Enterprise la version 8.0.1 et avec la Splunk Enterprise Security version d’application 6.2.1.
Serveur MID
Cette intégration nécessite l’installation et la configuration d’un MID Server dans votre Now Platform® instance pour se connecter au Splunk service lorsque le Splunk serveur est déployé au sein de votre réseau d’entreprise. Si vous utilisez le Splunk Cloud service, un MID Server n’est pas nécessaire. Voir Serveur MID pour plus d’informations sur les serveurs MID.
Références
| Référence | Identificateur de document | Titre de document |
|---|---|---|
| 1 | Splunk Site web du produit |
Site Web du produit Splunk Enterprise Security. |
Liste de vérification
Pour obtenir une liste de contrôle imprimable de ces rubriques, reportez-vous à la section Liste de vérification pour l’intégration de l’ingestion d’événements Splunk Enterprise Security notables. Vous pouvez utiliser cette liste pour surveiller votre progression au fur et à mesure que vous travaillez sur les tâches de l’intégration.