Splunk Enterprise Event Ingestion integração para Security Operations por ServiceNow

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • O evento Splunk Enterprise e a integração de dados de alerta com o produto Security Incident Response (SIR) permitem que os analistas de incidentes de segurança coletem e processem logs de segurança e dados de eventos relacionados.

    Visão geral

    Os dados são coletados em tempo real e usados por analistas para identificar e relatar possíveis ameaças cibernéticas. Os eventos de segurança coletados podem ser processados em alertas acionados que são ingeridos automaticamente com esta integração. Além disso, eventos de segurança individuais podem ser encaminhados manualmente sob demanda da interface de pesquisa e relatório Security Incident Response [] para o produto Splunk Enterprise do Now Platform para criar incidentes de segurança. Você pode recuperar eventos notáveis da pesquisa Splunk Enterprise com a configuração de cluster principal de pesquisa. Você pode fazer isso usando o URL e a porta de API de qualquer cabeçalho de pesquisa que faça parte do cluster.

    Esta integração fornece a um analista do centro de operações de segurança (SOC) visibilidade de eventos e dados de alerta relacionados. Esses dados podem ser integrados em Now Platform Security Incident Response (SIR) incidentes de segurança para investigação e correção adicionais. Perfis para Splunk alertas ingeridos em andamento e eventos encaminhados são criados na sua instância Now Platform. Esses perfis personalizam como diferentes Splunk campos de alerta e evento são exibidos em SIR incidentes de segurança. É fornecido um mapeamento padrão de campos de alerta que pode ser editado e aumentado para atender às necessidades específicas do cliente.

    Principais recursos

    Esta integração inclui os seguintes recursos principais:

    • Crie vários perfis de ingestão de alertas para criar incidentes de segurança SIR para tipos específicos de ameaças, como phishing e malware.
    • Crie vários perfis de evento para encaminhamento de eventos sob demanda do console Splunk para criar incidentes de segurança SIR.
    • Mapeamento de arrastar e soltar de Splunk valores de campo de alerta e evento para campos de incidente de segurança SIR associados.
    • Uma visualização do layout do incidente de segurança SIR com base em alertas ou eventos de amostra para validar a configuração do perfil.
    • Inclua alertas históricos, bem como alertas futuros em andamento em intervalos configuráveis.
    • Agregue eventos ou alertas a incidentes de segurança SIR existentes com base em valores de campo correspondentes para evitar incidentes de segurança duplicados.

    Now Platform Versões compatíveis

    O plug-in com.snc.si_dep é necessário. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Security Incident Response. Instale e ative este plug-in antes de instalar e ativar as outras Security Operations aplicações.

    As aplicações Security Operations a seguir devem ser instaladas e ativadas a partir do ServiceNow Store. Instale e ative um aplicativo de cada vez na ordem listada abaixo para garantir uma instalação sem problemas:
    1. Security Integration Framework
    2. Security Support Common
    3. Orquestração de suporte de segurança
    4. Security Incident Response

    Para obter mais informações sobre como instalar as aplicações principais Security Operations, consulte Obter direito para um produto ou aplicação Security Operations e Ativar uma aplicação ServiceNow Store.

    ServiceNow Complementos

    O ServiceNow Complemento de ingestão de eventos do Security Operations para Splunk Enterprise será necessário somente se você preferir encaminhar eventos manualmente do console [ Splunk Enterprise para a instância Now Platform. Este ServiceNow addon está disponível em splunkbase.

    Este ServiceNow Complemento de ingestão de eventos do Security Operations para a aplicação Splunk Enterprise no splunkbase não é necessário para a ingestão de alertas automatizada compatível com a integração.

    Versões compatíveis do Splunk

    Esta integração é compatível com a versão 6.0 ou posterior do Splunk Enterprise. A integração também oferece suporte ao serviço Splunk Enterprise Cloud.

    MID Server

    Esta integração requer um MID Server instalado e configurado em sua instância Now Platform® para se conectar ao serviço Splunk se o servidor Splunk for implantado em sua rede corporativa. Se você estiver usando o serviço Splunk Cloud, um MID Server não será necessário. Para obter mais informações sobre MID Servers, consulte MID Server.

    Arquitetura de integração e conexão de sistemas

    Para obter mais informações sobre a arquitetura da integração, incluindo termos-chave e detalhes de conexão de sistemas externos, consulte Arquitetura de integração e conexão de sistemas externos para a integração Splunk Enterprise Event Ingestion.

    Check-list

    Para obter uma check-list imprimível desses tópicos, consulte Check-list para a integração de ingestão de eventos notáveis Splunk Enterprise Security. Você pode usar essa lista para monitorar seu andamento enquanto trabalha nas tarefas da integração.

    As imagens usadas nos tópicos a seguir foram geradas para a versão Kingston do Now Platform. Para obter informações sobre a interface do usuário San Diego, consulte Gerenciar ameaças à segurança usando o Security Analyst Workspace.

    Os tópicos a seguir são numerados. Siga os tópicos listados abaixo na ordem em que são apresentados para uma instalação e configuração simples da aplicação.