Esta seção descreve alguns dos principais termos usados nesta integração.

Os termos-chave a seguir são usados durante a instalação e a configuração do. Para obter mais informações sobre esses termos, consulte o site de documentação do produto da ServiceNow e o site e recursos do Splunk na página Recursos do Splunk.

Now Platform

Um produto empresarial ServiceNow. O Now Platform é a base sobre a qual componentes individuais como Security Incident Response (SIR), IT Service Management (ITSM) e outros produtos são criados.

ServiceNow Complemento Splunkbase

Uma aplicação ServiceNow instalada no console Splunk Enterprise Security que oferece suporte à opção de encaminhamento manual de eventos da integração. O encaminhamento manual de eventos é um recurso opcional da integração. Este ServiceNow complemento Splunkbase não é necessário para a ingestão automatizada de eventos notáveis fornecida pela integração que extrai eventos de Splunk.

Security Incident Response (SIR)

Uma aplicação Now Platform que rastreia o andamento de incidentes de segurança desde a descoberta e análise inicial, passando pela contenção, erradicação e recuperação, até a revisão e fechamento pós-incidente finais.

Splunk Enterprise Security

Splunk Enterprise Security ajuda as equipes a obter visibilidade e inteligência de segurança em toda a organização para monitoramento contínuo, resposta a incidentes, operações de SOC e fornecer aos executivos uma janela para o risco do negócio. Splunk Enterprise Security é uma solução de segurança premium que requer uma licença paga. Este serviço está em um host ou em uma oferta de nuvem Splunk que é chamada de console Splunk neste guia.

Splunk Enterprise Security evento notável

Quando uma pesquisa de correlação identifica um evento ou um padrão de eventos, ela cria um evento notável. As pesquisas de correlação filtram os dados de segurança e correlacionam eventos para identificar um tipo específico de incidente (ou padrão de eventos) e, em seguida, criar eventos notáveis.

Splunk evento

Um ou mais elementos de dados que resultam nos eventos notáveis do serviço Splunk. Na sua instância Now Platform, você pode pesquisar quais eventos [ Splunk acionaram Now Platform incidentes de segurança.

MID Server

Esta aplicação facilita a comunicação e a movimentação de dados entre Now Platform e aplicações, fontes de dados e serviços externos. Esta aplicação é normalmente necessária para integração com tecnologias no local e, para esta Splunk Enterprise Security integração de ingestão de eventos, o MID Server facilita a comunicação entre o Now Platform e a instância no local de Splunk Enterprise Security. Um MID Server não é necessário se você estiver integrando sua instância Now Platform com uma instância Splunk Cloud.

Administrador de incidentes de segurança (sn_si.admin)

O usuário com esta função supervisiona a configuração da integração com o produto SIR em sua instância Now Platform.

Analista de incidentes de segurança (sn_si.analyst)

O usuário com esta função interage e analisa incidentes de segurança no produto ServiceNow Security Incident Response.