Wichtige Begriffe, die für diese Integration verwendet werden

Die folgenden wichtigen Begriffe werden während der Installation und Konfiguration verwendet. Weitere Informationen zu diesen Begriffen finden Sie auf der ServiceNow-Website mit Produktdokumentation, der Splunk-Website und den Ressourcen auf der Seite „Splunk-Ressourcen “.

Now Platform

Ein Unternehmensprodukt ServiceNow. Now Platform ist die Basis, auf der einzelne Komponenten wie Security Incident Response (SIR), IT Service Management (ITSM) und andere Produkte basieren.

ServiceNow Splunkbase-Add-on

Eine ServiceNow -Anwendung, die auf Ihrer Splunk Enterprise -Konsole installiert ist und die Option zur manuellen Event-Weiterleitung der Integration unterstützt. Die manuelle Event-Weiterleitung ist eine optionale Funktion der Integration. Dieses ServiceNow Splunkbase-Add-on ist für die automatisierte Warnungserfassung, die von der -Integration bereitgestellt wird, nicht erforderlich.

Security Incident Response (SIR)

Eine Now Platform Anwendung, die den Fortschritt von Security Incidents von der Erkennung und der ersten Analyse über die Eindämmung, Beseitigung und Wiederherstellung bis hin zur endgültigen Überprüfung und dem Abschluss nach Incidents nachverfolgt.

Splunk Enterprise

Ein automatisiertes SIEM-Produkt (Security Incident Event Management) oder ein Cloud-Service, das Daten erfasst, die für die Analyse und Verwaltung von Incidents verwendet werden. Dieser Service befindet sich auf einem Host, der in diesem Leitfaden manchmal auch als Splunk -Konsole bezeichnet wird.

Splunk Warnung

Eine Suche, die Sie konfigurieren und in Splunk speichern, um basierend auf den Parametern, die Sie im Service Splunk Enterprise eingerichtet haben, nach bestimmten Daten zu suchen. Wenn Sie Warnungen aus Splunkabrufen, rufen Sie auch alle mit dieser Warnung verknüpften Events ab.

Splunk hat Warnung ausgelöst

Eine konfigurierte Suche in der Konsole Splunk Enterprise, die Ergebnisse zurückgibt und diese Ergebnisse als ausgelöste Warnungen kennzeichnet. Die ausgelösten Warnungen werden für diese Integration von der Konsole Splunk in Ihre Instanz Now Platform erfasst. Ausgelöste Warnungen haben ein oder mehrere Splunk Events.

Splunk Termin

Ein oder mehrere Datenelemente, die zu den ausgelösten Warnungen des Service Splunk führen. In Ihrer Now Platform -Instanz können Sie nachschlagen, welche Splunk -Ereignisse Now Platform Security Incidents ausgelöst haben.

MID-Server

Diese Anwendung erleichtert die Kommunikation und Bewegung von Daten zwischen Now Platform und externen Anwendungen, Datenquellen und Services. Diese Anwendung ist in der Regel für die Integration mit lokalen Technologien erforderlich, und für diese Splunk Enterprise Event Ingestion -Integration erleichtert der MID Server die Kommunikation zwischen Now Platform und der lokalen Instanz von Splunk Enterprise. Ein MID Server ist nicht erforderlich, wenn Sie Ihre Now Platform -Instanz mit einer Splunk Cloud -Instanz integrieren.

Security Incident-Administrator (sn_si.admin)

Benutzer mit dieser Rolle überwachen die Konfiguration der Integration mit dem Produkt SIR in Ihrer Instanz Now Platform.

Security Incident-Analyst (sn_si.analyst)

Benutzer mit dieser Rolle interagieren mit und analysieren Security Incidents im Produkt ServiceNow Security Incident Response.

Verbindung mit externen Systemen

Ein Event-Profil ist ein Container, den Sie für eine einzelne Verbindung erstellen, benennen und konfigurieren und den Service Splunk aufrufen, um die aktuellsten ausgelösten Warnungen abzurufen, die bestimmten Kriterien entsprechen. Nachdem ausgelöste Warnungen, die Ihrem Profil entsprechen, aus Splunkabgerufen wurden, wählen Sie aus, welche dieser Warnungen als Now Platform Security Incident Response SIR Security Incident angezeigt werden sollen. Eine Standardansicht der Splunk Enterprise -Warnungsfelder ist verfügbar, und Sie bearbeiten diese Zuordnung von Warnungsfeldern zu den Feldern in einem SIR -Security Incident entsprechend Ihren Anforderungen. Sie zeigen eine Vorschau Ihrer Zuordnung an, um sicherzustellen, dass Sie alle erforderlichen Warnungsfeldwerte für den Security Incident SIR ausgefüllt haben. Um die Konfiguration des Warnungsprofils abzuschließen, planen Sie den Abruf von Warnungen und aktivieren dann das Profil. Nachdem Sie das Profil in Now Platformaktiviert haben, können Sie historische und laufende Splunk Warnungen automatisch erfassen.

Wenn Sie als Benutzer mit der Rolle „sn_si.admin“ feststellen, dass eine neu ausgelöste Warnung zuvor erfassten Warnungen ähnelt, können Sie neu ausgelöste Warnungen zu vorhandenen SIR Security Incidents zusammenfassen. Sie legen Kriterien fest, um übereinstimmende Zielfeldwerte im Warnungsprofil Splunk Enterprise anzugeben, die definieren, wann ein vorhandener Security Incident aktualisiert und wann ein neuer Security Incident erstellt wird. Wenn die Zusammenfassungsfunktion in Ihrem Event-Profil aktiviert ist, sucht Ihre Now Platform -Instanz bei der Transformation des Importsatzes nach einem vorhandenen Datensatz in der Zieltabelle, der denselben Wert in den Ziel- und Quellfeldern aufweist. Wenn ein vorhandener Datensatz mit einem übereinstimmenden Wert in der Zieltabelle gefunden wird, wird dieser Datensatz aktualisiert. Wenn kein passender Datensatz gefunden wird, wird ein neuer Datensatz in der Zieltabelle erstellt. Wenn diese Option aktiviert ist, aktualisiert die Zusammenfassungsoption vorhandene Security Incidents mit neuen ausgelösten Warnungen, und Sie vermeiden die Erstellung mehrerer Security Incidents. Weitere Informationen zum Aktualisieren von Datensätzen mithilfe von Zusammenfassungsoptionen finden Sie unter Datensätze durch Zusammenfügenaktualisieren.

Diese Anwendung verwendet den API-Service Splunk, um Informationen aus dem Service Splunk abzurufen. Eine ausgehende HTTPS-Verbindung vom MID-Server zu dieser Umgebung ist erforderlich, damit die Integration ordnungsgemäß funktioniert.

Nach der Verbindung mit dem Service Splunk unterstützt die Integration das Abrufen und Erfassen von ausgelösten Warnungen und Events, die Security Incidents auslösen.

Der grundlegende Datenfluss wird in den folgenden Abbildungen veranschaulicht. In jeder Abbildung ruft (erfasst) Ihr Now Platform Daten ab. Splunk übermittelt keine Daten für geplante Warnungen.