Intégration TISC avec Splunk
L’intégration entre (Centre de sécurité des renseignements sur les menacesTISC) et Splunk permet aux utilisateurs de filtrer et d’extraire des données observables pertinentes de Threat Intelligence dans .Splunk Dans le Splunk, les utilisateurs peuvent utiliser ces données pour générer des alertes de sécurité.
Rôle requis : Splunk admin
À l’aide de l’application TISC complémentaire, vous pouvez configurer l’intervalle auquel vous pouvez extraire des observables de l’instance ServiceNow TISC .
Cet intervalle détermine la fréquence à laquelle l’application peut effectuer des demandes ServiceNow et récupérer les données des observables. En outre, vous pouvez définir et appliquer des filtres pour spécifier les observables que vous souhaitez extraire de l’instance ServiceNow TISC .
Une fois les observables extraits ServiceNow, les données des observables sont stockées dans Splunk un magasin KV (Key-Value Store) et vous pouvez écrire les règles de corrélation sur l’ensemble des observables qui ont été extraits.