Configurez votre ServiceNow AI Platform instance pour l’intégration Splunk Enterprise Security

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • La section suivante répertorie les tâches de configuration que vous devez effectuer dans votre ServiceNow AI Platform® instance avant d’installer l’application à partir du ServiceNow Store.

    Rôle requis : sn_si.ingestion_profile_admin.

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Reportez-vous à la table suivante et vérifiez que vous avez effectué toutes les tâches répertoriées avant de télécharger et d’installer l’application pour garantir une installation et une configuration fluides.

    1. Vérifiez que vous avez affecté les rôles requis ServiceNow AI Platform® et Réponse aux incidents de sécurité (SIR).

      Les rôles suivants sont requis pour l’installation, la configuration et l’utilisation de l’intégration dans votre ServiceNow AI Platform® instance.

      • Un utilisateur disposant du rôle d’administrateur ServiceNow AI Platform® (admin) installe l’application à partir du et lui affecte le rôle d’administrateur d’incident ServiceNow Store de sécurité (sn_si.admin).
      • Si vous souhaitez transférer manuellement les événements notables à partir de Splunk Enterprise Security cette intégration, un utilisateur disposant du ServiceNow AI Platform® rôle administrateur affecte un utilisateur ayant le rôle (sn_sec_splunkes.api_account_access) dans le ServiceNow AI Platform®. Ce rôle permet à un utilisateur ayant le rôle d’administrateur Splunk Enterprise Security d’accéder à l’API dans le qui est requis pour le ServiceNow AI Platform® transfert manuel d’événements pour cette intégration.

        Le rôle (sn_sec_splunkes.api_account_access) n’est pas requis pour l’intégration si vous ingérez automatiquement des Splunk Enterprise Security événements notables depuis votre ServiceNow AI Platform® instance.

      • Un utilisateur disposant du rôle sn_si.ingestion_profile_admin supervise les tâches suivantes dans le ServiceNow AI Platform® :
        • nomme, crée et modifie les profils d’événements.
        • Sélectionne et mappe les valeurs depuis les ServiceNow AI Platform® incidents de Splunk Enterprise Security sécurité.
        • Prévisualise les détails de l’incident de sécurité pour plus d’exactitude avant de finaliser la configuration.
        • Planifie l’ingestion des événements notables en cours.
        • Active les mises à jour d’événements notables lorsqu’un incident SIR est créé et fermé.
        • Affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst).
        • Les utilisateurs disposant du sn_si.analyst travaillent sur des incidents de sécurité.

      Pour plus d’informations, reportez-vous à .Managing roles

    2. Affectez le rôle d’utilisateur Splunk .

      Affecter un rôle d’utilisateur d’analyste de sécurité (ess_analyst) dans Splunk ES pour effectuer toutes les activités liées à l’intégration sur le Splunk serveur.

    3. Vérifiez que vous utilisez la version 7.2.6 ou ultérieure de l’API Splunk . Les versions antérieures ne sont pas prises en charge.

      Si vous avez accès à la Splunk Enterprise Security console, vous avez accès à l’API requise pour cette intégration. Aucune autre configuration spéciale n’est requise pour l’API.

    4. Vérifiez que vous avez installé et configuré un serveur MID.

      A Serveur MID dans votre ServiceNow AI Platform® instance est requis pour se connecter au Splunk service si le Splunk serveur est déployé au sein de votre réseau d’entreprise. (pour en savoir plus, reportez-vous à la section Serveur MID).

      Si vous utilisez le service Cloud, un n’est Splunk Enterprise SecurityServeur MID pas obligatoire.

    5. Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées.

      Le Réponse aux incidents de sécurité module d’extension Dependency (com.snc.si_dep) est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications requises par l’intégration.

      Vérifiez que les applications suivantes Opérations de sécurité sont installées et activées à partir du ServiceNow Store. Si ce n’est pas le cas, installez et activez une application à la fois dans l’ordre suivant pour assurer une installation sans problème.

      1. Réponse aux incidents de
      2. sécurité Cadre de travail d’intégration de sécurité
      3. Commun de prise en charge de la sécurité

      Pour en savoir plus sur l’installation Opérations de sécurité des applications principales, reportez-vous aux sections Obtenir un droit pour un produit ou une Opérations de sécurité application et Activer une ServiceNow Store application.

    Vous avez correctement configuré votre ServiceNow AI Platform® instance pour l’intégration. L’étape suivante consiste à installer l’application Ingestion d’événements Splunk Enterprise Security notables à partir de pour l’intégration ServiceNow Store . Pour plus d'informations, consultez Installer et configurer Splunk Enterprise Security l’intégration de l’ingestion des événements notables.