ServiceNow による Security Operations 向け Splunk Enterprise Event Ingestion 統合

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • Splunk Enterprise イベントとアラートのデータを セキュリティインシデントレスポンス (SIR) 製品に統合すると、セキュリティインシデントアナリストはセキュリティログと関連イベントデータを収集して処理できます。

    概要

    データはリアルタイムで収集され、アナリストが潜在的なサイバー脅威を特定して報告するために使用されます。収集されたセキュリティイベントは、この統合で自動的に取り込まれるトリガーされたアラートに処理できます。また、個々のセキュリティイベントを Splunk Enterprise 検索およびレポートインターフェイスから Now Platformセキュリティインシデントレスポンス 製品にオンデマンドで手動転送して、セキュリティインシデントを作成することもできます。検索ヘッドクラスター構成を使用して、Splunk Enterprise 検索から注目イベントを取得できます。これは、クラスターの一部である検索ヘッドの URL と API ポートを使用して行います。

    この統合により、セキュリティオペレーションセンター (SOC) アナリストはイベントと関連アラートデータを表示できます。このデータは、Now Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントに統合して、さらに調査および修復できます。Splunk の進行中の取り込まれたアラートと転送されたイベントのプロファイルが Now Platform のインスタンスに作成されます。これらのプロファイルは、SIR セキュリティインシデントでのさまざまな Splunk アラートとイベントフィールドの表示方法をカスタマイズします。顧客固有のニーズに合わせて編集および拡張できる、アラートフィールドのデフォルトマッピングが提供されます。

    主な機能

    この統合の主な機能は次のとおりです。

    • 複数のアラート取り込みプロファイルを作成して、フィッシングやマルウェアなどの特定のタイプの脅威に対して SIR セキュリティインシデントを作成します。
    • Splunk コンソールからオンデマンドイベント転送用の複数のイベントプロファイルを作成して、SIR セキュリティインシデントを作成します。
    • 関連付けられている SIR セキュリティインシデントフィールドに Splunk アラートフィールド値とイベントフィールド値のマッピングをドラッグアンドドロップします。
    • プロファイル構成を検証するためのサンプルアラートまたはイベントに基いて、SIR セキュリティインシデントレイアウトをプレビューします。
    • 履歴アラームと、構成可能な間隔で進行中の将来のアラームを取り込みます。
    • 一致するフィールド値に基づいて既存の SIR セキュリティインシデントにイベントまたはアラートを集計し、重複するセキュリティインシデントを回避します。

    サポートされている Now Platform のバージョン

    com.snc.si_dep プラグインが必要です。このプラグインは、セキュリティインシデントレスポンス 製品をサポートするために必要なすべての依存関係を自動的にインストールします。他の Security Operations アプリケーションをインストールしてアクティブ化する前に、このプラグインをインストールしてアクティブ化します。

    次の Security Operations アプリケーションを、ServiceNow Store からインストールしてアクティブ化する必要があります。スムーズにインストールできるように、アプリケーションを次のリストの順番で、一度に 1 つずつインストールしてアクティブ化します。
    1. Security Integration Framework
    2. Security Support Common
    3. セキュリティサポートオーケストレーション
    4. セキュリティインシデントレスポンス

    Security Operations コアアプリケーションのインストールの詳細については、「」および「」を参照してください。

    ServiceNow アドオン

    ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise は、Splunk Enterprise コンソールから Now Platform インスタンスに手動でイベントを転送する場合にのみ必要です。この ServiceNow アドオンは splunkbase で入手できます。

    この ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise アプリケーションは、統合でサポートされている自動アラートの取り込みには必要ありません。

    サポートされている Splunk バージョン

    この統合は Splunk Enterprise バージョン 6.0 以降でサポートされています。統合は、Splunk Enterprise クラウドサービスもサポートしています。

    MID サーバー

    Splunk サーバーが企業ネットワーク内に展開されている場合、この統合では、Now Platform® インスタンスにインストールされ、構成された MID サーバーを Splunk サービスに接続する必要があります。Splunk Cloud サービスを使用している場合、MID サーバーは必要ありません。MID サーバーの詳細については、「MID サーバー」を参照してください。

    統合アーキテクチャとシステム接続

    重要な用語や外部システム接続の詳細など、統合のアーキテクチャの詳細については、「Splunk Enterprise Event Ingestion 統合の統合アーキテクチャと外部システム接続」を参照してください。

    チェックリスト

    これらのトピックの印刷可能なチェックリストについては、「Splunk Enterprise Security 注目イベントの取り込み統合用チェックリスト」を参照してください。このリストを使用して、進捗を監視しながら、統合のタスクを進めることができます。

    次のトピックで使用する画像は、Now Platform の Kingston リリース用に生成されたものです。San Diego のユーザーインターフェイスについては、「Manage security threats using the Security Analyst Workspace (Security Analyst Workspace を使用したセキュリティ脅威の管理)」を参照してください。

    次のトピックには番号が付けられています。アプリケーションのインストールと設定をスムーズに行えるように、以下のトピックを記載されている順に実行してください。