Cette section décrit certains des termes clés utilisés dans cette intégration.

Les termes clés suivants sont utilisés lors de l’installation et de la configuration. Pour plus d’informations sur ces conditions, consultez le site Web de la documentation produit ServiceNow et le site Web et les ressources Splunk sur la page Ressources Splunk .

Now Platform

Un produit d’entreprise ServiceNow Il Now Platform s’agit de la base sur laquelle reposent les composants individuels tels que Réponse aux incidents de sécurité (),SIR IT Service Management (ITSM) et d’autres produits.

ServiceNow Complément Splunkbase

Une ServiceNow application installée sur votre Splunk Enterprise Security console qui prend en charge l’option de transfert manuel d’événements de l’intégration. Le transfert manuel d’événements est une fonctionnalité facultative de l’intégration. Ce ServiceNow module complémentaire Splunkbase n’est pas requis pour l’ingestion automatisée d’événements notables fournie par l’intégration qui extrait les événements à partir de Splunk.

Réponse aux incidents de sécurité (SIR)

Application Now Platform qui suit la progression des incidents de sécurité, depuis la détection et l’analyse initiale, en passant par le confinement, l’éradication et la récupération, jusqu’à l’examen final et la fermeture post-incident.

Splunk Enterprise Security

Splunk Enterprise Security aide les équipes à bénéficier d’une visibilité et d’une intelligence de sécurité à l’échelle de l’organisation pour la surveillance continue, la réponse aux incidents, les opérations SOC et fournit aux dirigeants une fenêtre sur les risques commerciaux. Splunk Enterprise Security est une solution de sécurité premium nécessitant une licence payante. Ce service se trouve sur un hôte ou une offre cloud Splunk qui est appelée Splunk console dans ce guide.

Splunk Enterprise Security Événement notable

Lorsqu’une recherche de corrélation identifie un événement ou un modèle d’événements, elle crée un événement notable. Les recherches de corrélation filtrent les données de sécurité et établissent une corrélation entre les événements pour identifier un type particulier d’incident (ou un modèle d’événements), puis créer des événements notables.

Splunk événement

Un ou plusieurs éléments de données qui entraînent les événements notables du Splunk service. À partir de votre Now Platform instance, vous pouvez rechercher les événements qui Splunk ont déclenché Now Platform des incidents de sécurité.

Serveur MID

Cette application facilite la communication et le mouvement de données entre les applications, sources de Now Platform données et services externes. Cette application est généralement requise pour l’intégration avec les technologies locales et, pour cette Splunk Enterprise Security intégration d’ingestion d’événementsSplunk Enterprise Security, le serveur MID facilite la communication entre l’instance Now Platform locale et . Un serveur MID n’est pas nécessaire si vous intégrez votre Now Platform instance à une Splunk Cloud instance.

Administrateur d’incident de sécurité (sn_si.admin)

L’utilisateur disposant de ce rôle supervise la configuration de l’intégration au SIR produit dans votre Now Platform instance.

Analyste des incidents de sécurité (sn_si.analyst)

L’utilisateur disposant de ce rôle interagit avec les incidents de sécurité du ServiceNow Réponse aux incidents de sécurité produit et les analyse.