ServiceNowSecurity Operations 向け Splunk Enterprise Security イベントの取り込み統合

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • セキュリティインシデントレスポンス (SIR) 製品と Splunk Enterprise Security 注目イベント取り込み機能の統合により、セキュリティインシデントアナリストは注目イベントデータ (注目と呼ばれる) を収集して処理できます。

    概要

    データは設定されたポーリングスケジュールに基づいて継続的に取り込まれ、アナリストが潜在的なサイバー脅威を特定して対応するために使用されます。収集されたセキュリティイベントは、Splunk Enterprise Security の注目イベントに関連付けて、この統合で自動的に取り込むことができます。また、個々の注目イベントを Splunk Enterprise Security インシデントレビューコンソールおよびレポートインターフェイスから Now Platformセキュリティインシデントレスポンス 製品にオンデマンドで手動転送して、セキュリティインシデントを作成することもできます。

    この統合により、セキュリティオペレーションセンター (SOC) アナリストは注目イベントと関連貢献イベントデータを表示できます。このデータは、Now Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントに統合して、さらに調査および修復できます。プロファイルは、Now Platform インスタンスに作成され、Splunk Enterprise Security の相関検索を介して作成されるさまざまな相関イベントタイプを処理します。これらのプロファイルは、SIR セキュリティインシデントでのさまざまな Splunk イベントフィールドの表示方法をカスタマイズします。

    主な機能

    この統合の主な機能は次のとおりです。

    • 複数の注目イベント取り込みプロファイルを作成して、フィッシング、マルウェア、不正なアクセス試行などの特定のタイプの脅威に対して SIR セキュリティインシデントを作成します。
    • Splunk ES インシデントレビューコンソールからオンデマンドイベント転送用の複数のイベントプロファイルを作成して、SIR セキュリティインシデントを作成します。
    • 関連付けられている SIR セキュリティインシデントフィールドに Splunk 注目イベントフィールド値のマッピングをドラッグアンドドロップします。
    • イベントマッピングの詳細を検証するためのサンプル注目イベントに基いて、SIR セキュリティインシデントレイアウトをプレビューします。
    • 構成可能な間隔で、履歴注目イベントと進行中の更新された新しい注目イベントを取り込みます。
    • SIR インシデント生成基準を満たさない注目イベント (優先度の低いイベント、まだ特定のステータスに達していないイベントなど) を除外します。
    • 一致するフィールド値に基づいて既存の SIR セキュリティインシデントにイベントまたはアラートを集計し、重複するセキュリティインシデントを回避します。
    • 双方向インターフェイスを介して SIR インシデントの作成および/またはクローズ条件に基づいて注目イベントを更新し、Splunk ES 注目イベントの更新を ServiceNow SIR インシデントステータスと同期させます。

    サポートされている Now Platform のバージョン

    この統合には com.snc.si_dep プラグインが必要です。このプラグインは、セキュリティインシデントレスポンス 製品をサポートするために必要なすべての依存関係を自動的にインストールします。他の Security Operations アプリケーションをインストールしてアクティブ化する前に、このプラグインをインストールしてアクティブ化します。

    次の Security Operations アプリケーションを、ServiceNow Store からインストールしてアクティブ化する必要があります。スムーズにインストールできるように、アプリケーションを次のリストの順番で、一度に 1 つずつインストールしてアクティブ化します。
    1. Security Integration Framework
    2. Security Support Common
    3. Security Incident Response

    Security Operations コアアプリケーションのインストールの詳細については、「Security Operations 製品またはアプリケーションのエンタイトルメントの取得」および「ServiceNow Store アプリケーションのアクティブ化」を参照してください。

    ServiceNow アドオン

    ServiceNow Security Operations Event Ingestion Addon for Splunk ES は、Splunk Enterprise Security インシデントレビューコンソールから Now Platform インスタンスに手動でイベントを転送する場合にのみ必要です。この ServiceNow アドオンは splunkbase で入手できます。

    この ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise アプリケーションは、統合でサポートされている自動アラートの取り込みには必要ありません。

    サポートされている Splunk バージョン

    この統合は、Splunk Enterprise バージョン 8.0.1 および Splunk Enterprise Security アプリケーションバージョン 6.2.1 でテストされています。

    MID Server

    Splunk サーバーが企業ネットワーク内に展開されている場合、この統合では、Now Platform® インスタンスにインストールされ、構成された MID Server を Splunk サービスに接続する必要があります。Splunk Cloud サービスを使用している場合、MID Server は必要ありません。MID Server の詳細については、「MID Server」を参照してください。

    参照

    参照 ドキュメント識別子 ドキュメントタイトル
    1

    Splunk 製品の Web サイト

    		 Splunk Enterprise Security 製品の Web サイト

    チェックリスト

    これらのトピックの印刷可能なチェックリストについては、「Splunk Enterprise Security 注目イベントの取り込み統合用チェックリスト」を参照してください。このリストを使用して、進捗を監視しながら、統合のタスクを進めることができます。