Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration Splunk Enterprise Event Ingestion .

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Bevor Sie die -Integration in Ihrer Instanz Now Platform® ausführen, führen Sie diese Installations- und Konfigurationsschritte aus, damit die Anwendung ordnungsgemäß in die -Produkte Security Incident Response und Security Operations in Ihrer Instanz Now Platform® integriert werden kann.

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Wenn Sie die Anwendung ServiceNow StoreSplunk Enterprise Event Ingestion für die Integration nicht aus [] installiert haben, rufen Sie auf und befolgen Sie die Schritte zur Installation.
    2. Nachdem Sie die Anwendung erfolgreich installiert haben, navigieren Sie zu Integrationen > Integrationskonfigurationen und suchen Sie die Kachel Splunk Ereigniserfassungen.
    3. Klicken Sie zum Konfigurieren der Anwendung auf Neu.
      Neue Splunk-Konfigurationskachel.
    4. Alternativ: Wenn auf einer Kachel die Schaltfläche Konfigurieren angezeigt wird, können Sie darauf klicken, um eine vorhandene Konfiguration zu bearbeiten.
    5. Füllen Sie die Felder im angezeigten Dialogfeld „Konfiguration der Ereigniserfassung“ aus.
      FeldBeschreibung
      Name Name der Splunk Enterprise -Konsole oder Splunk Cloud -Instanz, die für die Integration verwendet wird.

      Leerzeichen werden für Namen unterstützt, Klammern jedoch nicht. Geben Sie beispielsweise Headquart-USAoder Headquarter USAein.
      Basis-URL der Splunk-API URL für Ihre Splunk Enterprise -Konsole oder Splunk Cloud -Instanz.
      Standardauthentifizierung Standardmäßig ist deaktiviert.

      Wenn Sie den API-Kontoanwendernamen und das API-Passwort für die Konfiguration verwenden, aktivieren Sie das Kontrollkästchen.
      API-Kontoanwendername Anwendername, den Sie für Ihren individuellen Anwenderaccount in der Splunk Enterprise -Konsole erstellt haben.
      API-Passwort Passwort, das Sie für Ihren individuellen Benutzeraccount in der Splunk Enterprise -Konsole erstellt haben.
      Tokenbasiert (verfügbar ab Version 12.0.0)

      Tokenbasierte Authentifizierung, die Sie für Ihr API-Benutzerkonto in der Splunk Enterprise -Konsole erstellt haben.
      Token Token, das Sie für Ihren API-Benutzeraccount in der Splunk Enterprise -Konsole erstellt haben.
      MID-Server Spezifischer MID-Server, der in Ihrer Umgebung eingerichtet ist. In dieser Auswahlliste sind nur MID-Server verfügbar, die aktiv und validiert sind.
      Lokale Bereitstellung Standardmäßig ist deaktiviert.

      Wenn Sie die cloudbasierte Version von Splunk Enterpriseverwenden, vergewissern Sie sich, dass das Kontrollkästchen deaktiviert ist.

      Wenn diese Option aktiviert ist, wird die Auswahlliste für MID-Server angezeigt. Wenn Sie eine lokale Version von Splunk Enterpriseverwenden, führen Sie diese Schritte aus, um einen MID-Server auszuwählen.

      1. Aktivieren Sie das Kontrollkästchen .

        Eine Auswahlliste wird angezeigt. Standard ist Beliebig.

      2. Wählen Sie Beliebig nur aus, wenn dieser MID-Server für die Splunk Enterprise Event Ingestion -Integration konfiguriert ist.
      3. Wählen Sie in der Auswahlliste den MID-Server Now Platform® aus, den Sie in Ihrer Instanz für diese spezifische Integration konfiguriert haben.

      Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular für die Konfiguration einer lokalen Version von Splunk Enterprise mit einem MID Server.

      Konfigurationsformular mit ausgefüllten Feldern.

      Jede Splunk Enterprise -Warnung, die Sie von der Splunk Enterprise -Konsole erfassen, erfordert ein eindeutiges Ereignisprofil in Ihrer Now Platform® -Instanz. Die Quelle, die Sie im Formular „Konfiguration der Ereigniserfassungen“ konfigurieren, kann jedoch für mehrere Now Platform® Profile wiederverwendet werden, solange jedes Profil eindeutige, durch Splunk ausgelöste Warnungen erfasst.

    6. Klicken Sie auf Absenden.
      Nach erfolgreich abgeschlossener Validierung wird die Seite „Security Integrations“ (Sicherheitsintegrationen) mit jeder Ihrer Konfigurationen angezeigt. Auf jeder gültigen Konfigurationskachel werden die Schaltflächen Konfigurieren und Löschen angezeigt (siehe folgende Abbildung).
      Hinweis:
      Sie müssen entweder nur die Standardauthentifizierung oder die tokenbasierte Authentifizierung verwenden. Aktivieren Sie eine der Authentifizierungen, und geben Sie die entsprechenden Authentifizierungsdetails ein. Wenn Sie beide aktivieren, wird ein Fehler angezeigt.

      Nach erfolgreicher Validierung und Übermittlung wird jede Serverkonfiguration für Ereigniserfassungen Splunk auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln nicht auf der Seite mit den Sicherheitsintegrationen angezeigt werden, klicken Sie in der oberen rechten Ecke der Seite in der Auswahlliste Konfigurationen anzeigen auf Ja.

      Konfigurationsformular für die Konfiguration der Splunk Enterprise-Ereigniserfassung.

    Wenn eine Fehlermeldung angezeigt wird, nachdem Sie auf Absenden geklickthaben, geben Sie Ihre Informationen erneut ein, und klicken Sie auf Absenden.

    Nächste Maßnahme

    Sie haben die Anwendung erfolgreich installiert und konfiguriert. Der nächste Schritt besteht im Erstellen eines Ereignisprofils.