Esta seção descreve alguns dos principais termos usados nesta integração.

Os termos-chave a seguir são usados durante a instalação e a configuração. Para obter mais informações sobre esses termos, consulte o site de Documentação do produto da ServiceNow e o site e recursos do Splunk na página Recursos do Splunk.

Now Platform

Um produto empresarial ServiceNow. O Now Platform é a base sobre a qual componentes individuais, como Security Incident Response (SIR), IT Service Management (ITSM) e outros produtos são criados.

ServiceNow Complemento Splunkbase

Uma aplicação ServiceNow que é instalada no console Splunk Enterprise Security que oferece suporte à opção de encaminhamento de evento manual da integração. O encaminhamento manual de eventos é um recurso opcional da integração. Este ServiceNow complemento Splunkbase não é necessário para a ingestão automatizada de eventos notáveis que é fornecida pela integração que extrai eventos de Splunk.

Security Incident Response (SIR)

Uma aplicação Now Platform que rastreia o andamento dos incidentes de segurança desde a descoberta e a análise inicial, passando pela contenção, erradicação e recuperação, até a revisão e fechamento pós-incidente finais.

Splunk Enterprise Security

Splunk Enterprise Security ajuda as equipes a obter visibilidade e inteligência de segurança em toda a organização para monitoramento contínuo, resposta a incidentes, operações SOC e fornecendo aos executivos uma janela para o risco dos negócios. Splunk Enterprise Security é uma solução de segurança premium que requer uma licença paga. Este serviço está em um host ou em uma oferta de nuvem Splunk que é chamada de console Splunk neste guia.

Splunk Enterprise Security evento relevante

Quando uma pesquisa de correlação identifica um evento ou um padrão de eventos, ela cria um evento relevante. As pesquisas de correlação filtram os dados de segurança e correlacionam eventos para identificar um tipo específico de incidente (ou padrão de eventos) e, em seguida, criar eventos notáveis.

Splunk evento

Um ou mais elementos de dados que resultam nos eventos notáveis do serviço Splunk. Na sua instância Now Platform, você pode pesquisar quais eventos [ Splunk acionaram Now Platform incidentes de segurança.

MID Server

Esta aplicação facilita a comunicação e a movimentação de dados entre Now Platform e aplicações externas, fontes de dados e serviços. Esta aplicação é normalmente necessária para integração com tecnologias no local e, para esta integração de ingestão de eventos Splunk Enterprise Security, o MID Server facilita a comunicação entre o Now Platform e a instância local de Splunk Enterprise Security. Um MID Server não é necessário se você estiver integrando sua instância Now Platform com uma instância Splunk Cloud.

Administrador de incidentes de segurança (sn_si.admin)

O usuário com esta função supervisiona a configuração da integração com o produto SIR em sua instância Now Platform.

Analista de incidentes de segurança (sn_si.analyst)

O usuário com esta função interage com e analisa incidentes de segurança no produto ServiceNow Security Incident Response.