이 섹션에서는 이 통합에 사용된 몇 가지 주요 용어에 대해 설명합니다.

다음은 설치 및 구성 중에 사용되는 주요 용어입니다. 이러한 용어에 대한 자세한 내용은 ServiceNow 제품 설명서 웹 사이트 와 Splunk 웹 사이트 및 Splunk 리소스 페이지의 리소스를 참조하십시오.

ServiceNow AI Platform

엔터프라이즈 ServiceNow 제품입니다. ServiceNow AI Platform(), ITSM(IT Service Management) 및 기타 제품과 같은 보안 인시던트 응답SIR개별 구성요소가 구축되는 기반입니다.

ServiceNow Splunkbase 애드온

ServiceNow 통합의 수동 이벤트 전달 옵션을 지원하는 콘솔에 Splunk Enterprise Security 설치된 애플리케이션입니다. 수동 이벤트 전달은 통합의 선택적 기능입니다. 이 ServiceNow Splunkbase 추가 기능은 에서 이벤트를 끌어오는 통합에서 제공하는 자동화된 주목할 만한 이벤트 수집에는 필요하지 않습니다.Splunk

보안 인시던트 응답(SIR)

ServiceNow AI Platform 검색 및 초기 분석부터 방지, 근절, 복구, 최종 사후 인시던트 검토 및 종결에 이르기까지 보안 인시던트의 진행 상황을 추적하는 애플리케이션입니다.

Splunk Enterprise Security

Splunk Enterprise Security 는 팀이 지속적인 모니터링, 인시던트 응답, SOC 운영에 대한 조직 전체의 가시성과 보안 인텔리전스를 확보하고 경영진에게 비즈니스 위험에 대한 창을 제공하는 데 도움이 됩니다. Splunk Enterprise Security 는 유료 라이센스가 필요한 프리미엄 보안 솔루션입니다. 이 서비스는 이 가이드에서 콘솔이라고 하는 Splunk 호스트 또는 Splunk 클라우드 오퍼링에 있습니다.

Splunk Enterprise Security 주목할 만한 이벤트

상관관계 검색을 통해 이벤트 또는 이벤트의 패턴을 식별하면 주목할 만한 이벤트가 생성됩니다. 상관관계 검색은 보안 데이터를 필터링하고 이벤트 간에 상관관계를 지정하여 특정 유형의 인시던트(또는 이벤트 패턴)를 식별한 다음 주목할 만한 이벤트를 생성합니다.

Splunk 이벤트

서비스의 주목할 만한 이벤트를 발생시키는 하나 이상의 데이터 요소입니다.Splunk 인스턴스에서 ServiceNow AI Platform 보안 인시던트를 트리거한 ServiceNow AI Platform 이벤트를 조회 Splunk 할 수 있습니다.

MID 서버

이 애플리케이션은 외부 애플리케이션, 데이터 소스 및 서비스 간의 ServiceNow AI Platform 데이터 이동과 통신을 용이하게 합니다. 이 애플리케이션은 일반적으로 온프레미스 기술과 통합하는 데 필요하며, 이 Splunk Enterprise Security 이벤트 수집 통합을 위해 MID 서버는 의 인스턴스와 온 프레미스 인스턴스 Splunk Enterprise Security간의 ServiceNow AI Platform 통신을 용이하게 합니다. 인스턴스를 인스턴스와 Splunk Cloud 통합 ServiceNow AI Platform 하는 경우에는 MID 서버가 필요하지 않습니다.

보안 인시던트 관리자(sn_si.admin)

이 역할이 있는 사용자는 인스턴스의 제품과의 SIR 통합 구성을 감독합니다 ServiceNow AI Platform .

보안 인시던트 분석가(sn_si.analyst)

이 역할을 가진 사용자는 제품의 보안 인시던트와 상호작용하고 이를 분석합니다 ServiceNow 보안 인시던트 응답 .