Intégration TISC à Splunk
L’intégration entre (Centre de sécurité des renseignements sur les menacesTISC) et Splunk permet aux utilisateurs de filtrer et d’extraire des données observables pertinentes de Threat Intelligence vers .Splunk Dans le Splunk, les utilisateurs peuvent utiliser ces données pour générer des alertes de sécurité.
Rôle requis : administrateur Splunk
À l’aide de l’application du complément TISC, vous pouvez configurer l’intervalle auquel vous pouvez extraire des observables de l’instance ServiceNow TISC.
Cet intervalle détermine la fréquence à laquelle l’application peut effectuer des demandes et ServiceNow récupérer les données des observables. En outre, vous pouvez définir et appliquer des filtres pour spécifier les observables que vous souhaitez extraire de l’instance ServiceNow TISC.
Une fois les observables extraits ServiceNow, les données des observables sont stockées dans le KV Store (Key-Value Store) de Splunk et vous pouvez écrire les règles de corrélation sur l’ensemble des observables qui ont été extraits.