この統合で使用される重要な用語

インストールと構成では、次の重要な用語が使用されます。以下の用語の詳細については、ServiceNow の製品ドキュメント Web サイト、Splunk の Web サイト、および Splunk リソースページのリソースを参照してください。

ServiceNow AI Platform

エンタープライズ ServiceNow 製品。ServiceNow AI Platform をベースとして、セキュリティインシデントレスポンス (SIR)、IT Service Management (ITSM)、およびその他の製品などの個々のコンポーネントがビルドされています。

ServiceNow Splunkbase アドオン

統合の手動イベント転送オプションをサポートする Splunk Enterprise コンソールにインストールされている ServiceNow アプリケーションです。手動イベント転送は、統合のオプション機能です。この ServiceNow Splunkbase アドオンは、統合によって提供される自動アラートの取り込みには必要ありません。

セキュリティインシデントレスポンス (SIR)

検出と初期分析から、封じ込め、根絶、復旧、および最終的なインシデントの事後レビューとクローズに至るまで、セキュリティインシデントの進捗状況を追跡する ServiceNow AI Platform アプリケーション。

Splunk Enterprise

インシデントの分析と管理に使用されるデータを収集する、自動セキュリティインシデントイベント管理 (SIEM) 製品またはクラウドサービスです。このサービスは、このガイドで Splunk コンソールと呼ばれることがあるホスト上にあります。

Splunk アラート

Splunk で設定して保存し、Splunk Enterprise サービスで設定したパラメーターに基づいて特定のデータをスキャンする検索。Splunk からアラートをプルすると、そのアラートに関連付けられているすべてのイベントもプルされます。

Splunk トリガーアラート

結果を返し、その結果をトリガーされたアラートとしてフラグ付けする、Splunk Enterprise コンソールで構成された検索。トリガーされたアラートは、この統合のために Splunk コンソールから ServiceNow AI Platform インスタンスに取り込まれます。トリガーされたアラートには、1 つ以上の Splunk イベントがあります。

Splunk イベント

Splunk サービスのトリガーされたアラートを生じる 1 つ以上のデータ要素。ServiceNow AI Platform インスタンスから、どの Splunk イベントが ServiceNow AI Platform セキュリティインシデントをトリガーしたかを検索できます。

MID サーバー

このアプリケーションは、ServiceNow AI Platform と外部アプリケーション、データソース、サービスの間の通信やデータの移動を容易にします。このアプリケーションは通常、オンプレミステクノロジーとの統合に必要です。この Splunk Enterprise Event Ingestion 統合のために、MID サーバーは ServiceNow AI Platform と Splunk Enterprise のオンプレミスインスタンス間の通信を支援します。ServiceNow AI Platform インスタンスを Splunk Cloud インスタンスと統合する場合、MID サーバーは必要ありません。

セキュリティインシデントアドミン (sn_si.admin)

このロールを持つユーザーは、ServiceNow AI Platform インスタンス内の SIR 製品との統合の構成を監督します。

セキュリティインシデントアナリスト (sn_si.analyst)

このロールを持つユーザーは、ServiceNow セキュリティインシデントレスポンス 製品でセキュリティインシデントに対応し、分析します。

セキュリティインシデントプロファイルアドミン (sn_si.ingestion_profile_admin)

このロールを持つユーザーは、ServiceNow AI Platform インスタンス内の SIR 製品の Azure Sentinel、Splunk および Splunk ES 統合のプラグインの構成、作成、編集、削除、および取り込みプロファイルの管理を行います。

外部システム接続

イベントプロファイルは、特定の基準に一致する最新のトリガーされたアラートをプルするために、単一の接続用に作成し、名前を付けて構成し、Splunk サービスを呼び出すコンテナです。プロファイルに一致するトリガーされたアラートが Splunk からプルされた後、これらのアラートから ServiceNow AI Platform セキュリティインシデントレスポンス SIR セキュリティインシデントとして表示するものを選択します。Splunk Enterprise アラートフィールドのデフォルトビューが利用可能です。また、ニーズに合わせて SIR セキュリティインシデントのフィールドへのこのアラートフィールドのマッピングを編集します。マッピングをプレビューして、SIR セキュリティインシデントに必要なすべてのアラートフィールド値が入力されていることを確認します。アラートプロファイルの設定を完了するには、アラートの取得をスケジュールしてから、プロファイルをアクティブ化します。ServiceNow AI Platform でプロファイルをアクティブ化すると、履歴アラートと進行中の Splunk アラートを自動的に取り込むことができます。

sn_si.admin ロールを持つユーザーは、新しくトリガーされたアラートが以前に取り込まれたアラートと類似していると判断した場合、新しくトリガーされたアラートを既存の SIR セキュリティインシデントに集計できます。Splunk Enterprise アラートプロファイルで一致するターゲットフィールド値を指定するための基準を設定し、既存のセキュリティインシデントが更新されるタイミングと新しいセキュリティインシデントが作成されるタイミングを定義します。イベントプロファイルで集計機能が有効になっている場合、インポートセットが変換されると、ServiceNow AI Platform インスタンスはターゲットフィールドとソースフィールドに同じ値を持つターゲットテーブルで既存のレコードをチェックします。ターゲットテーブルに一致する値を持つ既存のレコードが見つかった場合、そのレコードが更新されます。一致するレコードが見つからない場合は、ターゲットテーブルに新しいレコードが作成されます。有効な場合、集計オプションは既存のセキュリティインシデントが新しくトリガーされたアラートで更新されるため、複数のセキュリティインシデントが作成されることはありません。集計オプションを使用したレコードの更新に関する詳細については、「結合を使用したレコードの更新」を参照してください。

このアプリケーションは Splunk API サービスを使用して Splunk サービスから情報を取得します。統合が正しく機能するには、MID サーバーからこの環境への送信 HTTPS 接続が必要です。

Splunk サービスに接続された後、統合はセキュリティインシデントをトリガーするトリガーされたアラートとイベントのプルと取り込みをサポートします。

基本的なデータフローを次の図に示します。各図では、ServiceNow AI Platform がデータをプル (取り込み) しています。Splunk はスケジュール済みアラートのデータをプッシュしていません。