Splunk Enterprise Security integração de ingestão de eventos para Operações de segurança por ServiceNow

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • A integração de ingestão de eventos notáveis Splunk Enterprise Security com o produto Security Incident Response (SIR) permite que os analistas de incidentes de segurança coletem e processem dados de eventos notáveis (chamados de notáveis).

    Visão geral

    Os dados são ingeridos continuamente com base em uma programação de pesquisa configurada e são usados por analistas para identificar e responder a possíveis ameaças cibernéticas. Os eventos de segurança coletados podem ser correlacionados a eventos notáveis em Splunk Enterprise Security e ingeridos automaticamente com esta integração. Além disso, eventos notáveis individuais podem ser encaminhados manualmente sob demanda do Splunk Enterprise Security console de análise de incidentes e da interface de emissão de relatórios para o produto Security Incident Response do Now Platform para criar incidentes de segurança.

    Esta integração fornece a um analista do centro de operações de segurança (SOC) visibilidade para eventos notáveis e dados de eventos de contribuição relacionados. Esses dados podem ser integrados a Now Platform Security Incident Response (SIR) incidentes de segurança para investigação e correção adicionais. Os perfis são criados em sua instância Now Platform para lidar com diferentes tipos de eventos notáveis que são criados por meio de pesquisas de correlação em Splunk Enterprise Security. Esses perfis personalizam como diferentes Splunk campos de evento são exibidos em SIR incidentes de segurança.

    Principais recursos

    Esta integração inclui os seguintes recursos principais:

    • Crie vários perfis de ingestão de eventos notáveis para criar incidentes de segurança SIR para tipos específicos de ameaças, como phishing e malware e tentativas de acesso não autorizado.
    • Crie vários perfis de evento para encaminhamento de eventos sob demanda a partir do seu Splunk ES console de análise de incidentes para criar incidentes de segurança SIR.
    • Mapeamento de arrastar e soltar de Splunk valores de campos de eventos notáveis para campos de incidentes de segurança SIR associados.
    • Uma visualização do layout do incidente de segurança SIR com base em eventos notáveis de amostra para validar os detalhes do mapeamento de eventos.
    • Ingerir eventos notáveis históricos, bem como eventos notáveis contínuos, novos e atualizados em intervalos configuráveis.
    • Filtrar eventos notáveis que não atendem aos critérios de geração de incidente SIR, por exemplo, eventos de baixa prioridade, eventos que ainda não atingiram um status específico e assim por diante.
    • Agregue eventos ou alertas a incidentes de segurança SIR existentes com base em valores de campo correspondentes para evitar incidentes de segurança duplicados.
    • Atualize eventos notáveis com base na criação de incidentes SIR e/ou condições de fechamento por meio de uma interface bidirecional para manter Splunk ES atualizações de eventos notáveis em sincronia com o status do incidente ServiceNow SIR.

    Versões da Now Platform compatíveis

    O plug-in com.snc.si_dep é necessário para esta integração. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Security Incident Response. Instale e ative este plug-in antes de instalar e ativar as outras Operações de segurança aplicações.

    As Operações de segurança aplicações a seguir devem ser instaladas e ativadas a partir do ServiceNow Store. Instale e ative uma aplicação de cada vez na ordem listada abaixo para garantir uma instalação sem problemas:
    1. Estrutura de integração de segurança
    2. Security Support Common
    3. Resposta a incidentes de segurança

    Para obter mais informações sobre como instalar as aplicações principais Operações de segurança, consulte e .

    ServiceNow Complementos

    O ServiceNow Complemento de ingestão de eventos das Operações de segurança para Splunk ES será necessário somente se você preferir encaminhar eventos manualmente do console de Revisão de incidentes Splunk Enterprise Security ] para a instância Now Platform. Este ServiceNow addon está disponível em splunkbase.

    Este ServiceNow Complemento de ingestão de eventos das Operações de segurança para a aplicação Splunk Enterprise no splunkbase não é necessário para a ingestão automatizada de alertas compatível com a integração.

    Versões compatíveis com Splunk

    Esta integração foi testada com a Splunk Enterprise versão 8.0.1 e com a aplicação Splunk Enterprise Security versão 6.2.1.

    MID Server

    Esta integração requer um MID Server instalado e configurado em sua instância Now Platform® para se conectar ao serviço Splunk quando o servidor Splunk estiver implantado em sua rede corporativa. Se você estiver usando o serviço Splunk Cloud, um MID Server não será necessário. Consulte MID Server para obter mais informações sobre MID Servers.

    Referências

    Referência Identificador de documento Título do Documento
    1

    Splunk site do produto

    		 Site do produto Splunk Enterprise Security.

    Check-list

    Para obter uma check-list imprimível desses tópicos, consulte Check-list para a integração de ingestão de eventos notáveis Splunk Enterprise Security. Você pode usar essa lista para monitorar o andamento enquanto trabalha nas tarefas da integração.