Konfigurieren und aktivieren Splunk Integration

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 2 Minuten Lesedauer

    • Konfigurieren Sie Splunk Ergänzungsintegration, um Ihre Protokolle automatisch zu durchsuchen und Threat Intelligence-Daten relevante Sichtungsinformationen hinzuzufügen.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Wichtig:
    • Laden Sie herunter Splunk Durchsuchen Sie die App über ServiceNow Store Um zu beginnen.
    • Installieren und aktivieren Sie Threat Intelligence-Sicherheitszentrum Plugin zum Aktivieren von Splunk Suchintegration.
    • Von Ihrem Splunk Instanz kopieren Sie die API-Basis-URL, die Link-URL, den Anwendernamen und das Passwort.

    Prozedur

    1. Navigieren Sie in Ihrer Instanz zu Threat Intelligence-Sicherheitszentrum .
    2. Laden Sie die Integration aus dem herunter ServiceNow Storean.
    3. Wenn die Installation abgeschlossen ist, navigieren Sie zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
    4. Auswählen Integrationen > Ergänzungsintegrationen > Alle Integrationenan.
    5. Navigieren zu Integrationen > Ergänzungsintegrationen > Alle Integrationen > Sichtungssuche
      Die konfigurierten Integrationen werden als Reihe von Karten angezeigt.
    6. In Splunk-Suche Karte, wählen Sie aus Konfigurieren Sie Eine Neue Anreicherung Zum Konfigurieren Splunk-Suche Integration.
    7. Füllen Sie die Felder im Formular „neue Anreicherung konfigurieren“ aus.
      Tabelle : 1. Ergänzungsintegration
      Feld Beschreibung
      Name Name für die Sichtungssuchkonfiguration.
      Lieferantenname Name des Lieferanten. Die Details des ausgewählten Lieferanten werden standardmäßig ausgefüllt. Beispiel: Splunk.
      Integrationstyp Typ der von Ihnen ausgewählten Integration. Beispiel: Bedrohungssuche.
      Beschreibung Beschreibung für Splunk Integration. Beispiel: Splunk Die Ergänzungsintegration hilft bei der Untersuchung eines erkennbaren Elements, indem sie die Abfrage von Protokollen in unterstützt Splunk Bereitstellung in Bezug auf potenziell schädliche Indikatoren.
      Integrationskonfiguration
      Splunk API-Basis-URL Basis-URL von Splunk Website.
      Link-URL [Optional] die URL, die mit verknüpft ist Splunk Webschnittstelle, falls verfügbar.
      Anwendername Ihre Informationen Splunk Anwendername.
      Passwort Ihre Informationen Splunk Passwort.
      Max. Zeilen Maximale Anzahl von Zeilen, die gesucht werden sollen.
      Erstes Ergebnis (Tage) Zeigt die frühesten Ergebnisse in Tagen an.
      Rohdatenmuster in Suchergebnissen berücksichtigen Wenn diese Option ausgewählt ist, werden Beispiele von Rohdaten in Sichtungssuchergebnissen eingeschlossen. Die Menge der zurückgegebenen Daten hängt von Ihrer Einstellung für die Anzahl der Zeilen der Rohdateneigenschaft in ab Eigenschaften der Reaktion auf Security Incidents .
      Lokale Bereitstellung Gibt an, ob die Bereitstellung lokal erfolgt.
      MID-Server Wählen Sie Aus Beliebig Option zur Verwendung eines aktiven MID-Servers oder zur Auswahl eines bestimmten MID-Servernamens.
      Hinweis:
      Durch die Konfiguration dieser Integration werden Workflows aktiviert. Navigieren Sie zum Verwalten der Workflows zu Flow Designer > Flows Und nehmen Sie bei Bedarf die erforderlichen Änderungen im Workflow-Editor vor.
    8. Wählen Sie Aus Speichern Zum Anwenden der Änderungen.
      Die Integrationsdetails werden validiert, und standardmäßig die Splunk Der Status der Integration ist deaktiviert.
    9. Wählen Sie Aus Aktivieren Zum Aktivieren von Splunk Integration.

    Nächste Maßnahme

    Nachdem Sie die Integration konfiguriert haben, können Sie auswählen Splunk Dient zum Durchführen von Sichtungssuchen für erkennbare Elemente in Threat Intelligence-Sicherheitszentrum.