Konfigurieren und aktivieren Sie die Splunk-Integration

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Die Splunk-Ergänzungsintegration durchsucht Ihre Protokolle und fügt relevante Sichtungsinformationen hinzu.

    Vorbereitungen

    Bevor Sie die Splunk-Suche verwenden können, müssen Sie sie aus dem ServiceNow Store herunterladen.

    Erforderliche Rolle: sn_sec_tisc.admin

    • Das Plugin „Threat Intelligence Security Center“ muss installiert und aktiviert werden, bevor Sie die Splunk Search-Integration verwenden können.
    • Rufen Sie Splunk ab, rufen Sie die Splunk-Suche ab und rufen Sie die API-Basis-URL, die Link-URL, den Anwendernamen und das Passwort von Ihrer Splunk-Instanz ab.

    Prozedur

    1. Greifen Sie mit Ihrer -Instanz auf Threat Intelligence-Sicherheitszentrum zu.
    2. Laden Sie die -Integration aus dem herunter ServiceNow Storean.
    3. Navigieren Sie nach Abschluss der Installation zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
    4. Auswahlvorgang Integrationen > Ergänzungsintegrationen > Alle Integrationenan.
    5. Alternativ können Sie zu navigieren Integrationen > Ergänzungsintegrationen > Alle Integrationen > Sichtungssuche
      Die konfigurierten Integrationen werden als Reihe von Karten angezeigt.
    6. Klicken Sie auf der Karte Splunk-Suche auf Neue Ergänzung konfigurieren, um die Integration von Splunk Search zu konfigurieren.
    7. Füllen Sie die Felder im Formular „Neue Ergänzung konfigurieren“ aus.
      Tabelle : 1. Ergänzungsintegration
      Feld Beschreibung
      Name Geben Sie einen Namen für die Konfiguration der Sichtungssuche ein.
      Lieferantenname Name des Lieferanten. Die Details des ausgewählten Lieferanten werden standardmäßig ausgefüllt. Beispiel: Splunk.
      Integrationstyp Typ der von Ihnen ausgewählten Integration. Beispiel: Bedrohungssuche.
      Beschreibung Geben Sie die Beschreibung für die Splunk-Integration ein. Beispiel: Die Splunk-Ergänzungsintegration hilft bei der Untersuchung eines erkennbaren Elements durch Unterstützung des Abfragens von Protokollen in Ihrer Splunk-Bereitstellung im Zusammenhang mit potenziell schädlichen Indikatoren.
      Integrationskonfiguration
      Basis-URL der Splunk-API Die Basis-URL, die Sie von der Splunk-Website erhalten haben.
      Link-URL [Optional] Die Link-URL, die auf die Splunk-Webschnittstelle verweist, falls verfügbar.
      Anwendername Ihr Intel Elasticsearch-Anwendername.
      Passwort Ihr Intel Elasticsearch-Passwort.
      Max. Zeilen Die maximale Anzahl von Zeilen, die Sie durchsuchen möchten.
      Erstes Ergebnis (Tage) Die frühesten Ergebnisse, die Sie anzeigen möchten, in Tagen.
      Rohdatenmuster in Suchergebnissen berücksichtigen Wählen Sie diese Option aus, um Beispiele von Rohdaten in die Ergebnisse der Sichtungssuche aufzunehmen. Die Menge der zurückgegebenen Daten hängt von Ihrer Einstellung in der Anzahl der Zeilen der Rohdateneigenschaft in den Security Incident Response-Eigenschaftenab.
      Lokale Bereitstellung In der bereitgestellten lokalen Umgebung.
      MID-Server Wählen Sie Beliebig aus, um einen beliebigen aktiven MID-Server zu verwenden, oder wählen Sie einen bestimmten MID-Server-Namen aus.
      Hinweis:
      Durch die Konfiguration dieser Integration werden -Workflows aktiviert. Um die Workflows zu verwalten, navigieren Sie zum Workflow-Editor.
    8. Klicken Sie auf Speichern.
      Die Integrationsdetails werden validiert, und standardmäßig ist der Status der Splunk-Integration deaktiviert.
    9. Klicken Sie auf Aktivieren, um die Splunk -Integration zu aktivieren.

    Ergebnisse

    Nach der Konfiguration kann Splunk für die Durchführung einer Sichtungssuche für erkennbare Elemente im Threat Intelligence-Sicherheitszentrum ausgewählt werden.