In diesem Abschnitt werden einige der wichtigsten Begriffe beschrieben, die in dieser Integration verwendet werden.

Die folgenden wichtigen Begriffe werden während der Installation und Konfiguration verwendet. Weitere Informationen zu diesen Begriffen finden Sie auf der ServiceNow-Website mit Produktdokumentation, der Splunk-Website und den Ressourcen auf der Seite „Splunk-Ressourcen “.

Now Platform

Ein Unternehmensprodukt ServiceNow. Now Platform ist die Basis, auf der einzelne Komponenten wie Security Incident Response (SIR), IT Service Management (ITSM) und andere Produkte basieren.

ServiceNow Splunkbase-Add-on

Eine ServiceNow -Anwendung, die auf Ihrer Splunk Enterprise Security -Konsole installiert ist und die Option zur manuellen Event-Weiterleitung der Integration unterstützt. Die manuelle Event-Weiterleitung ist eine optionale Funktion der Integration. Dieses ServiceNow Splunkbase-Add-on ist nicht für die automatisierte Erfassung wichtiger Ereignisse erforderlich, die von der Integration bereitgestellt wird, die Ereignisse aus Splunk] abruft.

Security Incident Response (SIR)

Eine Now Platform Anwendung, die den Fortschritt von Security Incidents von der Erkennung und der ersten Analyse über die Eindämmung, Beseitigung und Wiederherstellung bis hin zur endgültigen Überprüfung und dem Abschluss nach Incidents nachverfolgt.

Splunk Enterprise Security

Splunk Enterprise Security hilft Teams, unternehmensweite Transparenz und Sicherheitsinformationen für kontinuierliche Überwachung, Reaktion auf Incidents, SOC-Vorgänge zu erhalten und Führungskräften Einblicke in Geschäftsrisiken zu gewähren. Splunk Enterprise Security ist eine Premium-Sicherheitslösung, die eine kostenpflichtige Lizenz erfordert. Dieser Service befindet sich auf einem Host oder einem Splunk-Cloud-Angebot, das in diesem Leitfaden als Splunk -Konsole bezeichnet wird.

Splunk Enterprise Security Bemerkenswertes Ereignis

Wenn eine Korrelationssuche ein Event oder ein Muster von Events identifiziert, wird ein wichtiges Event erstellt. Korrelationssuchen filtern die Sicherheitsdaten und korrelieren über Ereignisse hinweg, um einen bestimmten Typ von Incident (oder Muster von Ereignissen) zu identifizieren und dann wichtige Ereignisse zu erstellen.

Splunk Termin

Ein oder mehrere Datenelemente, die zu den wichtigen Ereignissen des Service Splunk führen. In Ihrer Now Platform -Instanz können Sie nachschlagen, welche Splunk -Ereignisse Now Platform Security Incidents ausgelöst haben.

MID-Server

Diese Anwendung erleichtert die Kommunikation und Bewegung von Daten zwischen Now Platform und externen Anwendungen, Datenquellen und Services. Diese Anwendung ist in der Regel für die Integration mit lokalen Technologien erforderlich, und für diese Splunk Enterprise Security Event-Erfassungsintegration erleichtert der MID Server die Kommunikation zwischen Now Platform und der lokalen Instanz von Splunk Enterprise Security. Ein MID Server ist nicht erforderlich, wenn Sie Ihre Now Platform -Instanz mit einer Splunk Cloud -Instanz integrieren.

Security Incident-Administrator (sn_si.admin)

Benutzer mit dieser Rolle überwachen die Konfiguration der Integration mit dem Produkt SIR in Ihrer Instanz Now Platform.

Security Incident-Analyst (sn_si.analyst)

Benutzer mit dieser Rolle interagieren mit und analysieren Security Incidents im Produkt ServiceNow Security Incident Response.