Termes clés utilisés dans cette intégration

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Cette section décrit certains des termes clés utilisés dans cette intégration.

    Les termes clés suivants sont utilisés lors de l’installation et de la configuration. Pour plus d’informations sur ces termes, consultez le site Web de la documentation produit ServiceNow et le site Web et les ressources de Splunk sur la page Ressources Splunk .

    Now Platform
    Un produit d’entreprise ServiceNow . Il Now Platform s’agit de la base sur laquelle reposent les composants individuels tels que Réponse aux incidents de sécurité (SIR), IT Service Management (ITSM) et d’autres produits.
    ServiceNow Module complémentaire Splunkbase
    Une ServiceNow application installée sur votre Splunk Enterprise Security console qui prend en charge l’option de transfert manuel d’événements de l’intégration. Le transfert manuel d’événements est une fonctionnalité facultative de l’intégration. Ce ServiceNow module complémentaire Splunkbase n’est pas requis pour l’ingestion d’événements notables automatisée fournie par l’intégration qui extrait les événements de .Splunk
    Réponse aux incidents de sécurité (SIR)
    Une Now Platform application qui suit la progression des incidents de sécurité depuis la découverte et l’analyse initiale, en passant par le confinement, l’éradication et la récupération, jusqu’à la revue et la fermeture finales post-incident.
    Splunk Enterprise Security
    Splunk Enterprise Security aide les équipes à bénéficier d’une visibilité et d’informations de sécurité à l’échelle de l’organisation pour une surveillance continue, la réponse aux incidents, les opérations SOC et fournir aux dirigeants une fenêtre sur les risques métier. Splunk Enterprise Security est une solution de sécurité premium nécessitant une licence payante. Ce service se trouve sur un hôte ou une offre cloud Splunk appelée Splunk console dans ce guide.
    Splunk Enterprise Security Événement notable
    Lorsqu’une recherche de corrélation identifie un événement ou un modèle d’événements, elle crée un événement notable. Les recherches de corrélation filtrent les données de sécurité et mettent en corrélation les événements pour identifier un type particulier d’incident (ou modèle d’événements), puis créer des événements notables.
    Splunk événement
    Un ou plusieurs éléments de données qui entraînent les événements notables du Splunk service. Dans votre Now Platform instance, vous pouvez rechercher quels Splunk événements ont déclenché Now Platform des incidents de sécurité.
    Serveur MID
    Cette application facilite la communication et le mouvement de données entre les applications, les sources de données et les Now Platform services externes. Cette application est généralement requise pour l’intégration avec les technologies sur site. Pour cette Splunk Enterprise Security intégration d’ingestion d’événements, le Serveur MID facilite la communication entre l’instance Now Platform et l’instance sur site de Splunk Enterprise Security. Un serveur MID n’est pas nécessaire si vous intégrez votre Now Platform instance à une Splunk Cloud instance.
    Administrateur d’incidents de sécurité (sn_si.admin)
    L’utilisateur disposant de ce rôle supervise la configuration de l’intégration avec le SIR produit dans votre Now Platform instance.
    Analyste des incidents de sécurité (sn_si.analyst)
    L’utilisateur disposant de ce rôle interagit avec les incidents de sécurité du ServiceNow Réponse aux incidents de sécurité produit et les analyse.