Splunk Enterprise Security イベントの取り込み統合

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:5分

    • セキュリティインシデントレスポンス (SIR) 製品と Splunk Enterprise Security 注目イベント取り込み機能の統合により、セキュリティインシデントアナリストは注目イベントデータ (注目と呼ばれる) を収集して処理できます。

    Splunk Enterprise Security イベント取り込み統合の概要

    データは設定されたポーリングスケジュールに基づいて継続的に取り込まれ、アナリストが潜在的なサイバー脅威を特定して対応するために使用されます。収集されたセキュリティイベントは、Splunk Enterprise Security の注目イベントに関連付けて、この統合で自動的に取り込むことができます。また、個々の注目イベントを Splunk Enterprise Security インシデントレビューコンソールおよびレポートインターフェイスから ServiceNow AI Platformセキュリティインシデントレスポンス 製品にオンデマンドで手動転送して、セキュリティインシデントを作成することもできます。

    この統合により、セキュリティオペレーションセンター (SOC) アナリストは注目イベントと関連貢献イベントデータを表示できます。このデータは、ServiceNow AI Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントに統合して、さらに調査および修復できます。プロファイルは、ServiceNow AI Platform インスタンスに作成され、Splunk Enterprise Security の相関検索を介して作成されるさまざまな相関イベントタイプを処理します。これらのプロファイルは、SIR セキュリティインシデントでのさまざまな Splunk イベントフィールドの表示方法をカスタマイズします。

    主な機能

    この統合の主な機能は次のとおりです。

    • 複数の注目イベント取り込みプロファイルを作成して、フィッシング、マルウェア、不正なアクセス試行などの特定のタイプの脅威に対して SIR セキュリティインシデントを作成します。
    • Splunk ES インシデントレビューコンソールからオンデマンドイベント転送用の複数のイベントプロファイルを作成して、SIR セキュリティインシデントを作成します。
    • 関連付けられている SIR セキュリティインシデントフィールドに Splunk 注目イベントフィールド値のマッピングをドラッグアンドドロップします。
    • イベントマッピングの詳細を検証するためのサンプル注目イベントに基いて、SIR セキュリティインシデントレイアウトをプレビューします。
    • 構成可能な間隔で、履歴注目イベントと進行中の更新された新しい注目イベントを取り込みます。
    • SIR インシデント生成基準を満たさない注目イベント (優先度の低いイベント、まだ特定のステータスに達していないイベントなど) を除外します。
    • 一致するフィールド値に基づいて既存の SIR セキュリティインシデントにイベントまたはアラートを集計し、重複するセキュリティインシデントを回避します。
    • 双方向インターフェイスを介して SIR インシデントの作成および/またはクローズ条件に基づいて注目イベントを更新し、Splunk ES 注目イベントの更新を ServiceNow SIR インシデント状況と同期させます。

    サポートされている ServiceNow AI Platform のバージョン

    この統合には com.snc.si_dep プラグインが必要です。このプラグインは、セキュリティインシデントレスポンス 製品をサポートするために必要なすべての依存関係を自動的にインストールします。他の セキュリティオペレーション アプリケーションをインストールしてアクティブ化する前に、このプラグインをインストールしてアクティブ化します。

    次の セキュリティオペレーション アプリケーションを、ServiceNow Store からインストールしてアクティブ化する必要があります。スムーズにインストールできるように、アプリケーションを次のリストの順番で、一度に 1 つずつインストールしてアクティブ化します。
    1. Security Integration Framework
    2. Security Support Common
    3. セキュリティインシデントレスポンス

    セキュリティオペレーション コアアプリケーションのインストールの詳細については、「セキュリティオペレーション 製品またはアプリケーションのエンタイトルメントの取得」および「ServiceNow Store アプリケーションのアクティブ化」を参照してください。

    ServiceNow アドオン

    ServiceNow Security Operations Event Ingestion Addon for Splunk ES は、Splunk Enterprise Security インシデントレビューコンソールから ServiceNow AI Platform インスタンスに手動でイベントを転送する場合にのみ必要です。この ServiceNow アドオンは splunkbase で入手できます。

    この ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise アプリケーションは、統合でサポートされている自動アラートの取り込みには必要ありません。

    サポートされている Splunk バージョン

    この統合は、以下でテストされています。
    • Splunk Enterprise バージョン 10.0.0 以前。
    • Splunk Enterprise セキュリティアプリケーションのバージョン 8.3.0 以前。

    MID サーバー

    Splunk サーバーが企業ネットワーク内に展開されている場合、この統合では、ServiceNow AI Platform® インスタンスにインストールされ、構成された MID サーバーを Splunk サービスに接続する必要があります。Splunk Cloud サービスを使用している場合、MID サーバーは必要ありません。MID サーバーの詳細については、「MID サーバー」を参照してください。

    参照

    参照 ドキュメント識別子 ドキュメントタイトル
    1

    Splunk 製品の Web サイト

    		 Splunk Enterprise Security 製品の Web サイト

    チェックリスト

    これらのトピックの印刷可能なチェックリストについては、「Splunk Enterprise Security注目イベントの取り込み統合のチェックリスト」を参照してください。このリストを使用して、進捗を監視しながら、統合のタスクを進めることができます。