注目イベントの取り込み統合 Splunk Enterprise Security インストールして構成します

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:4分

    • ServiceNow Store からアプリケーションSplunk Enterprise Security注目イベントの取り込み統合を ServiceNow AI Platform® インスタンスにインストールして構成セキュリティオペレーション

    始める前に

    必要なロール:ess_analyst

    Splunk ES でセキュリティアナリスト (ess_analyst) ユーザーロールをアサインして、 Splunk サーバーで統合関連のすべてのアクティビティを実行します。

    このタスクについて

    手順

    1. ServiceNow Store から統合用の Splunk Enterprise Security イベントの取り込みアプリケーションをインストールしていない場合は、「セキュリティオペレーション 統合のインストール」を参照し、ステップに従ってインストールしてください。
    2. アプリケーションが正常にインストールされたら、次に移動します すべて > Security Operations > 統合 > 統合設定.
    3. [Splunk Enterprise Security - イベントの取り込み] タイルを検索し、[構成] を選択します。
    4. フォームのフィールドに入力します。
      フィールド説明
      名前 統合に使用される Splunk Enterprise Security コンソールまたは Splunk Cloud インスタンスの名前。

      名前ではスペースがサポートされていますが、括弧はサポートされていません。たとえば、「SplunkES2」と入力します。
      Splunk API のベース URL Splunk Enterprise Security コンソールまたは Splunk Cloud インスタンスの URL。URL には API ポートを含める必要があります (例:https://mysplunkserver.com:8089)。
      ベーシック認証 デフォルトでは無効になっています。

      構成に API アカウントユーザー名と API パスワードを使用する場合は、チェックボックスをオンにします。
      API アカウントユーザー名 Splunk Enterprise Security コンソールで API ユーザーアカウント用に作成したユーザー名。
      API パスワード Splunk Enterprise Security コンソールで API ユーザーアカウント用に作成したパスワード。
      トークンベース (バージョン 12.0.0 から利用可能) Splunk Enterprise Security コンソールで API ユーザーアカウント用に作成したトークン。
      トークン Splunk Enterprise Security コンソールで API ユーザーアカウント用に作成したトークン。
      オンプレミス展開 デフォルトでは無効になっています。

      Splunk Enterprise Security のオンプレミスベースバージョンを使用している場合は、このチェックボックスがオンになっていることを確認します。
      MID サーバー 環境で設定する特定の MID サーバーを選択するオプション。選択した MID サーバーは、注目イベントを ServiceNow にプルするためにこの統合により使用されます。
      リストから特定の MID サーバーを選択するか、[任意] を選択して、リストからこの統合に対して有効な MID サーバーの自動選択を有効にすることができます。
      注:
      • この構成で選択された MID サーバーは、この統合全体に適用されます。
      • このリストには、アクティブで検証済みの MID サーバーのみが表示されます。デフォルト値は [任意] に設定されています。

      たとえば、3 つの MID サーバー A、B、C があるとします。[任意] を選択すると、これらの MID サーバーのいずれかが自動的に選択され、この統合全体に適用されます。特定の MID サーバ、たとえば C を選択すると、選択した MID サーバー C がこの統合全体に適用されます。

      MID サーバーを変更する場合は、[アプリ構成] タイルから再構成する必要があります。

      Splunk Enterprise Security インシデントレビューコンソールから取り込む各 Splunk Enterprise Security 注目イベントタイプには、ServiceNow AI Platform® インスタンス内に一意のイベントプロファイルが必要です。ただし、[イベントの取り込み構成] フォームで設定したソースは、各プロファイルが一意の注目イベントタイプを取り込む限り、複数の ServiceNow AI Platform® プロファイルで再利用できます。

    5. [送信] を選択します。
      構成済みの統合タイルが表示されます。

    次のタスク

    Splunk Enterprise Security イベントの取り込み統合でのイベントプロファイルの作成と名前の設定