Richten Sie Ihre Instanz Now Platform für die Integration Splunk Enterprise Event Ingestion ein

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Im folgenden Abschnitt werden die Setupaufgaben aufgeführt, die Sie in der Instanz Now Platform® ausführen müssen, bevor Sie die Anwendung von ServiceNow Storeinstallieren.

    Vorbereitungen

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sehen Sie sich die folgende Tabelle an, und vergewissern Sie sich, dass Sie alle aufgeführten Aufgaben abgeschlossen haben, bevor Sie die Anwendung herunterladen und installieren, um eine reibungslose Installation und Konfiguration zu gewährleisten.

    Prozedur

    1. Stellen Sie sicher, dass Sie die erforderlichen Rollen Now Platform® und Security Incident Response (SIR) zugewiesen haben.

      Die folgenden Rollen sind für die Installation, Einrichtung und Verwendung der -Integration in Ihrer Instanz von Now Platform® erforderlich.

      • Ein Benutzer mit der Administratorrolle Now Platform® (admin) installiert die Anwendung aus ServiceNow Store und weist die Rolle „Security Incident-Administrator“ (sn_si.admin) zu.
      • Wenn Sie Ereignisse für diese Integration manuell von Splunk Enterprise weiterleiten möchten, weist ein Benutzer mit der Administratorrolle Now Platform® einem Benutzer mit der Rolle (sn_sec_splunk_v2.api_account_access) in Now Platform®zu. Diese Rolle ermöglicht einem Anwender mit der Administratorrolle Splunk Enterprise den Zugriff auf die API in Now Platform®, die für die manuelle Ereignisweiterleitung für diese Integration erforderlich ist.

        Die Rolle (sn_sec_splunk_v2.api_account_access) ist für die Integration nicht erforderlich, wenn Sie Warnungen automatisch aus Splunk Enterprise in Ihrer Instanz Now Platform® erfassen.

      • Ein Benutzer mit der Rolle sn_si.admin überwacht die folgenden Aufgaben in Now Platform®:
        • Benennt, erstellt und bearbeitet Warnungs- und Ereignisprofile.
        • Wählt Werte aus Warnungen und Ereignissen aus und ordnet sie den Security Incidents Now Platform® zu.
        • Zeigt eine Vorschau der Details von Security Incidents auf Richtigkeit an, bevor die Konfiguration abgeschlossen wird.
        • Plant die laufende Warnungserfassung.
        • Weist die Rolle „Security Incident-Analyst“ (sn_si.analyst) zu.
        • Benutzer mit der Rolle sn_si.analyst arbeiten mit Security Incidents.

      Weitere Informationen zu Rollen und zum Zuweisen von Rollen zu Benutzern finden Sie unter Managing roles.

    2. Vergewissern Sie sich, dass Sie Version 6.0 oder höher der Splunk -API verwenden.

      Wenn Sie Zugriff auf die -Konsole Splunk Enterprise haben, haben Sie Zugriff auf die API, die für diese Integration erforderlich ist. Für die API ist kein weiteres spezielles Setup erforderlich.

    3. Stellen Sie sicher, dass Sie einen MID-Server installiert und konfiguriert haben.

      Ein MID-Server in Ihrer Instanz Now Platform® ist erforderlich, um eine Verbindung zum Service Splunk herzustellen, wenn der Server Splunk innerhalb Ihres Unternehmensnetzwerks bereitgestellt wird. Weitere Informationen zu MID-Servern finden Sie unter MID-Server

      Wenn Sie den Service Splunk Cloud verwenden, ist kein MID-Server erforderlich.

    4. Stellen Sie sicher, dass die ServiceNow Core-Anwendungen, die zur Unterstützung der Integration erforderlich sind, installiert und aktiviert sind.

      Das Plugin Security Incident Response Dependency (com.snc.si_dep) ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen für die Integration erforderlichen Security Operations -Anwendungen installieren und aktivieren.

      Vergewissern Sie sich, dass die folgenden Security Operations -Anwendungen über ServiceNow Store] installiert und aktiviert sind. Falls nicht installiert, installieren und aktivieren Sie jeweils nur eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation zu gewährleisten.

      1. Security Incident Response
      2. Security Integration Framework
      3. Security Support Common
      4. Security Support Orchestration

      Weitere Informationen zur Installation der Security Operations -Core-Anwendungen finden Sie unter und .

    Nächste Maßnahme

    Sie haben Ihre Instanz Now Platform® erfolgreich für die Integration eingerichtet. Der nächste Schritt besteht in der Installation der Anwendung Splunk Enterprise Event Ingestion aus ServiceNow Store für die Integration. Weitere Informationen finden Sie unter Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration Splunk Enterprise Event Ingestion ..

    Wenn Sie keine Suchen in Ihrer Splunk Enterprise -Konsole zur Erfassung gespeichert haben oder wenn Sie das Erstsetup für diese Integration gleichzeitig in Ihrer Splunk Enterprise -Konsole und im Security Operations -Produkt Ihrer Now Platform® -Instanz durchführen, finden Sie weitere Informationen unter Speichern Sie Suchen in Ihrer Splunk Enterprise -Konsole für die Splunk Enterprise Event Ingestion -Integration.

    Wenn Sie Ereignisse für die -Integration manuell und bei Bedarf von Ihrer Splunk Enterprise -Konsole exportieren möchten, finden Sie weitere Informationen unter Richten Sie Ihre Splunk -Umgebung für die manuelle Ereigniserfassung für die Splunk Enterprise -Ereigniserfassungsintegration ein.