Cette section décrit certains des termes clés utilisés dans cette intégration.

Les termes clés suivants sont utilisés lors de l’installation et de la configuration. Pour plus d’informations sur ces conditions, consultez le site Web de la documentation produit ServiceNow et le site Web et les ressources Splunk sur la page Ressources Splunk .

Now Platform

Un produit d’entreprise ServiceNow . Il s’agit Now Platform de la base sur laquelle reposent les composants individuels tels que Réponse aux incidents de sécurité (),SIR IT Service Management (ITSM) et d’autres produits.

ServiceNow Splunkbase Addon

Une ServiceNow application installée sur votre Splunk Enterprise Security console qui prend en charge l’option de transfert manuel d’événements de l’intégration. Le transfert manuel d’événements est une fonctionnalité facultative de l’intégration. Ce ServiceNow module complémentaire Splunkbase n’est pas requis pour l’ingestion automatisée d’événements notables fournie par l’intégration qui extrait les événements de Splunk.

Security Incident Response (SIR)

Application Now Platform qui suit la progression des incidents de sécurité depuis la détection et l’analyse initiale jusqu’à l’examen final et la fermeture en passant par le confinement, l’éradication et la récupération.

Splunk Enterprise Security

Splunk Enterprise Security aide les équipes à obtenir une visibilité et des informations de sécurité à l’échelle de l’organisation pour la surveillance continue, la réponse aux incidents, les opérations SOC et la fourniture aux dirigeants d’une fenêtre sur les risques commerciaux. Splunk Enterprise Security est une solution de sécurité premium nécessitant une licence payante. Ce service se trouve sur un hôte ou une offre cloud Splunk que l’on appelle une Splunk console dans ce guide.

Splunk Enterprise Security Événement notable

Lorsqu’une recherche de corrélation identifie un événement ou un modèle d’événements, elle crée un événement notable. Les recherches de corrélation filtrent les données de sécurité et établissent une corrélation entre les événements afin d’identifier un type particulier d’incident (ou de modèle d’événements), puis de créer des événements notables.

Splunk événement

Un ou plusieurs éléments de données qui se traduisent par les événements notables du Splunk service. Depuis votre Now Platform instance, vous pouvez rechercher les événements qui Splunk ont déclenché Now Platform des incidents de sécurité.

Serveur MID

Cette application facilite la communication et le mouvement des données entre la et les Now Platform applications, sources de données et services externes. Cette application est généralement requise pour l’intégration avec des technologies locales et, pour cette Splunk Enterprise Security intégration d’ingestion d’événements, le MID Server facilite la communication entre le Now Platform et l’instance locale de Splunk Enterprise Security. Un MID Server n’est pas nécessaire si vous intégrez votre Now Platform instance à une Splunk Cloud instance.

Administrateur des incidents de sécurité (sn_si.admin)

L’utilisateur disposant de ce rôle supervise la configuration de l’intégration au SIR produit dans votre Now Platform instance.

Analyste des incidents de sécurité (sn_si.analyst)

L’utilisateur disposant de ce rôle interagit avec les incidents de sécurité dans le ServiceNow Réponse aux incidents de sécurité produit et les analyse.