Configure e habilite Splunk integração

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 2 min. de leitura

    • Configure o. Splunk Integração de aprimoramento para pesquisar automaticamente seus logs e adicionar informações de detecção relevantes aos dados de inteligência contra ameaças.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Importante:
    • Baixe o. Splunk App de pesquisa no ServiceNow Store para começar.
    • Instale e ative o. Central de segurança de inteligência contra ameaças plug-in para habilitar o. Splunk Integração de pesquisa.
    • Do seu Splunk Instância, copie o URL base da API, o URL do link, o nome de usuário e a senha.

    Procedimento

    1. Em sua instância, navegue até Central de segurança de inteligência contra ameaças .
    2. Baixe a integração do ServiceNow Store.
    3. Quando a instalação estiver concluída, navegue até Espaços > Central de segurança de inteligência contra ameaças.
    4. Selecionar Integrações > Integrações de aprimoramento > Todas as integrações.
    5. Navegar até Integrações > Integrações de aprimoramento > Todas as integrações > Pesquisa de Vistas
      As integrações configuradas aparecem como uma série de cartões.
    6. Em Pesquisa Splunk cartão, selecione Configurar novo aprimoramento para configurar Pesquisa Splunk integração.
    7. Preencha os campos no formulário Configurar novo aprimoramento.
      Tabela 1. Integração de aprimoramento
      Campo Descrição
      Nome Nome da configuração de pesquisa de detecções.
      Nome do fornecedor Nome do fornecedor Os detalhes do fornecedor selecionado são preenchidos por padrão. Por exemplo, Splunk.
      Tipo de Integração Tipo de integração que você selecionou. Por exemplo, Pesquisa de ameaças.
      Descrição Descrição do Splunk integração. Por exemplo, o. Splunk a integração de aprimoramento ajuda na investigação de um observável, oferecendo suporte à consulta de logs no Splunk implantação em relação a indicadores potencialmente maliciosos.
      Configuração de integração
      Splunk URL base da API URL de base do Splunk local.
      URL do Link [Opcional] O URL que vincula ao Splunk interface da web, quando disponível.
      Nome de usuário Sua Intel Splunk nome de usuário.
      Senha Sua Intel Splunk senha.
      Máx. de Linhas Número máximo de linhas a serem pesquisadas.
      Resultado Mais Antigo (dias) Exibe os primeiros resultados em número de dias.
      Incluir amostras de dados brutos nos resultados da pesquisa Quando selecionado, inclui amostras de dados brutos nos resultados da pesquisa de detecções. A quantidade de dados retornados depende da sua configuração na propriedade Número de linhas da propriedade de dados brutos em Propriedades da Resposta a incidentes de segurança .
      Implantação no Local Indica se a implantação está no local.
      MID Server Selecione Qualquer Opção para usar qualquer MID Server ativo ou selecionar um nome de MID Server específico.
      Nota:
      A configuração desta integração ativa fluxos de trabalho. Para gerenciar os fluxos de trabalho, navegue até Flow Designer > Fluxos e faça as mudanças necessárias no editor de fluxo de trabalho, se necessário.
    8. Selecione Salvar para aplicar as mudanças.
      Os detalhes da integração são validados e, por padrão, os Splunk o status da integração é desativado.
    9. Selecione Habilitar para habilitar o. Splunk integração.

    O que Fazer Depois

    Depois de configurar a integração, você pode selecionar Splunk para executar pesquisas de detecções em observáveis em Central de segurança de inteligência contra ameaças.