Termos-chave usados para esta integração

Os termos-chave a seguir são usados durante a instalação e a configuração do. Para obter mais informações sobre esses termos, consulte o site de documentação do produto da ServiceNow e o site e recursos do Splunk na página Recursos do Splunk.

Now Platform

Um produto empresarial ServiceNow. O Now Platform é a base sobre a qual componentes individuais como Security Incident Response (SIR), IT Service Management (ITSM) e outros produtos são criados.

ServiceNow Complemento Splunkbase

Uma aplicação ServiceNow instalada no console Splunk Enterprise que oferece suporte à opção de encaminhamento manual de eventos da integração. O encaminhamento manual de eventos é um recurso opcional da integração. Este ServiceNow complemento Splunkbase não é necessário para a ingestão automatizada de alertas fornecida pela integração.

Security Incident Response (SIR)

Uma aplicação Now Platform que rastreia o andamento de incidentes de segurança desde a descoberta e análise inicial, passando pela contenção, erradicação e recuperação, até a revisão e fechamento pós-incidente finais.

Splunk Enterprise

Um produto ou serviço em nuvem automatizado de gestão de eventos de incidentes de segurança (SIEM) que coleta dados usados para análise e gestão de incidentes. Este serviço está em um host que às vezes também é chamado de console Splunk neste guia.

Splunk alerta

Uma pesquisa que você configura e salva em Splunk para verificar dados específicos com base nos parâmetros configurados no serviço Splunk Enterprise. Ao extrair alertas de Splunk, você também extrai todos os eventos associados a esse alerta.

Splunk alerta acionado

Uma pesquisa configurada no console Splunk Enterprise que retorna resultados e sinaliza esses resultados como alertas acionados. Os alertas acionados são ingeridos do console Splunk para sua instância Now Platform para esta integração. Os alertas acionados têm um ou mais eventos Splunk.

Splunk evento

Um ou mais elementos de dados que resultam nos alertas acionados do serviço Splunk. Na sua instância Now Platform, você pode pesquisar quais eventos [ Splunk acionaram Now Platform incidentes de segurança.

MID Server

Esta aplicação facilita a comunicação e a movimentação de dados entre Now Platform e aplicações, fontes de dados e serviços externos. Esta aplicação é normalmente necessária para integração com tecnologias no local e, para esta integração Splunk Enterprise Event Ingestion, o MID Server facilita a comunicação entre o Now Platform e a instância no local de Splunk Enterprise. Um MID Server não é necessário se você estiver integrando sua instância Now Platform com uma instância Splunk Cloud.

Administrador de incidentes de segurança (sn_si.admin)

O usuário com esta função supervisiona a configuração da integração com o produto SIR em sua instância Now Platform.

Analista de incidentes de segurança (sn_si.analyst)

O usuário com esta função interage e analisa incidentes de segurança no produto ServiceNow Security Incident Response.

Conexão de sistemas externos

Um perfil de evento é um contêiner que você cria, nomeia e configura para uma conexão única e chama o serviço Splunk para extrair os alertas acionados mais atuais que correspondem a critérios específicos. Depois que os alertas acionados que correspondem ao seu perfil forem extraídos de Splunk, você seleciona qual desses alertas deseja exibir como um incidente de segurança Now Platform Security Incident Response SIR. Uma exibição padrão dos campos de alerta Splunk Enterprise está disponível e você edita este mapeamento de campos de alerta para os campos em um incidente de segurança SIR para atender às suas necessidades. Visualize seu mapeamento para verificar se todos os valores de campo de alerta necessários estão preenchidos no SIR incidente de segurança. Para concluir a configuração do perfil de alerta, programe a recuperação de alertas e ative o perfil. Depois de ativar o perfil no Now Platform, você está pronto para ingerir alertas históricos e contínuos Splunk automaticamente.

Como um usuário com a função sn_si.admin, se você determinar que um novo alerta acionado é semelhante aos alertas ingeridos anteriormente, poderá agregar novos alertas acionados a incidentes de segurança SIR existentes. Você define critérios para especificar valores de campo de destino correspondentes no perfil de alerta Splunk Enterprise que definem quando um incidente de segurança existente é atualizado e quando um novo incidente de segurança é criado. Se o recurso de agregação estiver habilitado em seu perfil de evento, quando o conjunto para importação for transformado, sua instância Now Platform verificará se há um registro existente na tabela de destino que tenha o mesmo valor nos campos de destino e de origem. Se um registro existente com um valor correspondente na tabela de destino for encontrado, esse registro será atualizado. Se nenhum registro correspondente for encontrado, um novo registro será criado na tabela de destino. Se habilitada, a opção de agregação atualizará os incidentes de segurança existentes com novos alertas acionados e você evitará a criação de vários incidentes de segurança. Para obter mais informações sobre como atualizar registros usando opções de agregação, consulte Atualização de registros usando aglutinação.

Esta aplicação usa o serviço de API Splunk para recuperar informações do serviço Splunk. Uma conexão HTTPS de saída do MID Server com este ambiente é necessária para que a integração funcione corretamente.

Depois de conectada ao serviço Splunk, a integração oferece suporte à extração e ingestão de alertas e eventos acionados que acionam incidentes de segurança.

O fluxo de dados básico é ilustrado nas imagens a seguir. Em cada figura, seu Now Platform está extraindo (ingerindo) dados. Splunk não está enviando dados para alertas programados.