TISC と Splunk との統合
脅威インテリジェンスセキュリティセンター (TISC) と Splunk の統合により、関連する脅威インテリジェンス観測事象データをフィルタリングして Splunk にプルできます。Splunk では、このデータを使用してセキュリティアラートを生成できます。
必要なロール:Splunk アドミン
TISC アドオンアプリケーションを使用して、ServiceNow TISCインスタンスから観測事象をプルできる間隔を設定できます。
この間隔によって、アプリケーションが ServiceNow に要求して観測事象データを取得できる頻度が決定されます。フィルターを定義して適用し、 ServiceNow TISC インスタンスからプルする観測事象を指定します。
観測事象が ServiceNow からプルされた後、観測事象データはキー値ストア (KV ストア) Splunk 格納され、取得した観測事象のセットに対して相関ルールをさらに書き込むことができます。