Termes clés utilisés pour cette intégration

Les termes clés suivants sont utilisés lors de l’installation et de la configuration. Pour plus d’informations sur ces conditions, consultez le site Web de la documentation produit ServiceNow et le site Web et les ressources Splunk sur la page Ressources Splunk .

Now Platform

Un produit d’entreprise ServiceNow Il Now Platform s’agit de la base sur laquelle reposent les composants individuels tels que Réponse aux incidents de sécurité (),SIR IT Service Management (ITSM) et d’autres produits.

ServiceNow Complément Splunkbase

Une ServiceNow application installée sur votre Splunk Enterprise console qui prend en charge l’option de transfert manuel d’événements de l’intégration. Le transfert manuel d’événements est une fonctionnalité facultative de l’intégration. Ce ServiceNow module complémentaire Splunkbase n’est pas requis pour l’ingestion d’alerte automatisée fournie par l’intégration.

Réponse aux incidents de sécurité (SIR)

Application Now Platform qui suit la progression des incidents de sécurité, depuis la détection et l’analyse initiale, en passant par le confinement, l’éradication et la récupération, jusqu’à l’examen final et la fermeture post-incident.

Splunk Enterprise

Produit ou service cloud automatisé de gestion des événements d’incident de sécurité (SIEM) qui collecte les données utilisées pour l’analyse et la gestion des incidents. Ce service se trouve sur un hôte qui est parfois également appelé Splunk console dans ce guide.

alerte Splunk

Une recherche que vous configurez et enregistrez pour Splunk rechercher des données spécifiques en fonction des paramètres que vous définissez dans le Splunk Enterprise service. Lorsque vous extrayez des alertes à partir de Splunk, vous extrayez également tous les événements associés à cette alerte.

Splunk Alerte déclenchée

Une recherche configurée dans la Splunk Enterprise console qui renvoie des résultats et marque ces résultats comme alertes déclenchées. Les alertes déclenchées sont ingérées de la Splunk console vers votre Now Platform instance pour cette intégration. Les alertes déclenchées ont un ou plusieurs Splunk événements.

Splunk événement

Un ou plusieurs éléments de données qui entraînent le déclenchement d’alertes du Splunk service. À partir de votre Now Platform instance, vous pouvez rechercher les événements qui Splunk ont déclenché Now Platform des incidents de sécurité.

Serveur MID

Cette application facilite la communication et le mouvement de données entre les applications, sources de Now Platform données et services externes. Cette application est généralement requise pour l’intégration avec des technologies locales et, pour cette Splunk Enterprise Event Ingestion intégration, le serveur MID facilite la communication entre l’instance locale et l’instance Now Platform locale de Splunk Enterprise. Un serveur MID n’est pas nécessaire si vous intégrez votre Now Platform instance à une Splunk Cloud instance.

Administrateur d’incident de sécurité (sn_si.admin)

L’utilisateur disposant de ce rôle supervise la configuration de l’intégration au SIR produit dans votre Now Platform instance.

Analyste des incidents de sécurité (sn_si.analyst)

L’utilisateur disposant de ce rôle interagit avec les incidents de sécurité du ServiceNow Réponse aux incidents de sécurité produit et les analyse.

Connexion à des systèmes externes

Un profil d’événement est un conteneur que vous créez, nommez et configurez pour une connexion et un appel uniques au service afin d’extraire les alertes déclenchées les plus récentes qui correspondent à Splunk des critères spécifiques. Une fois que les alertes déclenchées correspondant à votre profil ont été extraites de Splunk, vous sélectionnez celle que vous souhaitez afficher en tant qu’incident Now Platform Réponse aux incidents de sécurité SIR de sécurité. Une vue par défaut des champs d’alerte Splunk Enterprise est disponible, et vous modifiez ce mappage des champs d’alerte aux champs d’un SIR incident de sécurité pour répondre à vos besoins. Vous prévisualisez votre mappage pour vérifier que toutes les valeurs de champ d’alerte requises sont renseignées sur l’incident SIR de sécurité. Pour terminer la configuration du profil d’alerte, vous devez planifier la récupération des alertes, puis activer le profil. Après avoir activé le profil dans le Now Platform, vous êtes prêt à ingérer automatiquement des alertes historiques et en cours Splunk .

En tant qu’utilisateur disposant du rôle sn_si.admin, si vous déterminez qu’une nouvelle alerte déclenchée est similaire aux alertes précédemment ingérées, vous pouvez regrouper les nouvelles alertes déclenchées en incidents de sécurité existants SIR . Vous définissez des critères pour spécifier les valeurs de champ cible correspondantes dans le profil d’alerte Splunk Enterprise qui définissent quand un incident de sécurité existant est mis à jour et quand un nouvel incident de sécurité est créé. Si la fonctionnalité d’agrégation est activée dans votre profil d’événement, lorsque le jeu d’importation est transformé, votre Now Platform instance recherche un enregistrement existant dans la table cible qui a la même valeur dans les champs cible et source. Si un enregistrement existant avec une valeur correspondante dans la table cible est trouvé, cet enregistrement est mis à jour. Si aucun enregistrement correspondant n’est trouvé, un nouvel enregistrement est créé dans la table cible. Si elle est activée, l’option d’agrégation met à jour les incidents de sécurité existants avec de nouvelles alertes déclenchées, ce qui vous permet d’éviter de créer plusieurs incidents de sécurité. Pour plus d’informations sur la mise à jour des enregistrements à l’aide des options d’agrégation, voir Mise à jour des enregistrements à l’aide de la fusion.

Cette application utilise le Splunk service API pour récupérer des informations à partir Splunk du service. Une connexion HTTPS sortante du MID Server vers cet environnement est nécessaire pour le bon fonctionnement de l’intégration.

Une fois connectée au Splunk service, l’intégration prend en charge l’extraction et l’ingestion des alertes et des événements déclenchés qui déclenchent des incidents de sécurité.

Le flux de données de base est illustré dans les figures suivantes. Dans chaque figure, votre Now Platform extrait (ingère) des données. Splunk n’envoie pas de données pour les alertes planifiées.