Splunk Enterprise Event Ingestion integração para Operações de segurança por ServiceNow

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • A integração de dados de alerta e evento Splunk Enterprise com o produto Security Incident Response (SIR) permite que os analistas de incidentes de segurança coletem e processem logs de segurança e dados de eventos relacionados.

    Visão geral

    Os dados são coletados em tempo real e usados por analistas para identificar e relatar possíveis ameaças cibernéticas. Os eventos de segurança coletados podem ser processados em alertas acionados que são ingeridos automaticamente com esta integração. Além disso, os eventos de segurança individuais podem ser encaminhados manualmente sob demanda da interface de pesquisa e emissão de relatórios Splunk EnterpriseSecurity Incident Response ] para o produto do Now Platform para criar incidentes de segurança. Você pode recuperar eventos notáveis da pesquisa Splunk Enterprise com a configuração de cluster de cabeçalho de pesquisa. Você pode fazer isso usando a URL e a porta de API de qualquer cabeçalho de pesquisa que faça parte do cluster.

    Esta integração fornece a um analista do centro de operações de segurança (SOC) visibilidade para eventos e dados de alerta relacionados. Esses dados podem ser integrados a Now Platform Security Incident Response (SIR) incidentes de segurança para investigação e correção adicionais. Perfis para Splunk alertas ingeridos em andamento e eventos encaminhados são criados em sua instância Now Platform. Esses perfis personalizam como diferentes Splunk campos de alerta e evento são exibidos em SIR incidentes de segurança. É fornecido um mapeamento padrão de campos de alerta que pode ser editado e aumentado para atender às necessidades específicas do cliente.

    Principais recursos

    Esta integração inclui os seguintes recursos principais:

    • Crie vários perfis de ingestão de alertas para criar incidentes de segurança SIR para tipos específicos de ameaças, como phishing e malware.
    • Crie vários perfis de evento para encaminhamento de eventos sob demanda a partir do console Splunk para criar incidentes de segurança SIR.
    • Mapeamento de arrastar e soltar de Splunk valores de campo de alerta e evento para campos de incidente de segurança SIR associados.
    • Uma visualização do layout de incidente de segurança SIR com base em exemplos de alertas ou eventos para validar a configuração do perfil.
    • Ingerir alertas históricos, bem como alertas futuros em andamento em intervalos configuráveis.
    • Agregue eventos ou alertas a incidentes de segurança SIR existentes com base em valores de campo correspondentes para evitar incidentes de segurança duplicados.

    Versões da Now Platform compatíveis

    O plug-in com.snc.si_dep é necessário. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Security Incident Response. Instale e ative este plug-in antes de instalar e ativar as outras Operações de segurança aplicações.

    As Operações de segurança aplicações a seguir devem ser instaladas e ativadas a partir do ServiceNow Store. Instale e ative uma aplicação de cada vez na ordem listada abaixo para garantir uma instalação sem problemas:
    1. Estrutura de integração de segurança
    2. Security Support Common
    3. Orquestração de suporte de segurança
    4. Resposta a incidentes de segurança

    Para obter mais informações sobre como instalar as aplicações principais Operações de segurança, consulte e .

    ServiceNow Complementos

    O ServiceNow Complemento de ingestão de eventos das Operações de segurança para Splunk Enterprise será necessário somente se você preferir encaminhar eventos manualmente do console [ Splunk Enterprise para a instância Now Platform. Este ServiceNow addon está disponível em splunkbase.

    Este ServiceNow Complemento de ingestão de eventos das Operações de segurança para a aplicação Splunk Enterprise no splunkbase não é necessário para a ingestão automatizada de alertas compatível com a integração.

    Versões compatíveis com Splunk

    Esta integração é compatível com a versão 6.0 ou posterior do Splunk Enterprise. A integração também oferece suporte ao serviço Splunk Enterprise Cloud.

    MID Server

    Esta integração requer um MID Server instalado e configurado em sua instância Now Platform® para se conectar ao serviço Splunk se o servidor Splunk estiver implantado em sua rede corporativa. Se você estiver usando o serviço Splunk Cloud, um MID Server não será necessário. Para obter mais informações sobre MID Servers, consulte MID Server.

    Arquitetura de integração e conexão de sistemas

    Para obter mais informações sobre a arquitetura da integração, incluindo termos-chave e detalhes da conexão de sistemas externos, consulte Arquitetura de integração e conexão de sistemas externos para a integração Splunk Enterprise Event Ingestion.

    Check-list

    Para obter uma check-list imprimível desses tópicos, consulte Check-list para a integração de ingestão de eventos notáveis Splunk Enterprise Security. Você pode usar essa lista para monitorar o andamento enquanto trabalha nas tarefas da integração.

    As imagens usadas nos tópicos a seguir foram geradas para a versão Kingston do Now Platform. Para obter informações sobre a interface do usuário do San Diego, consulte Gerenciar ameaças à segurança usando o Espaço do analista de segurança.

    Os tópicos a seguir estão numerados. Siga os tópicos listados abaixo na ordem em que são apresentados para uma instalação e configuração tranquilas da aplicação.