Splunk Enterprise イベントの取り込み統合での手動イベント取り込み用の Splunk 環境設定
この統合のために Splunk Enterprise コンソールから手動でオンデマンドでイベントをエクスポートする場合は、ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise アプリケーションを Splunk Enterprise コンソールまたは Splunk クラウドインスタンスにインストールして設定します。
始める前に
手動イベントの取り込みに必要な splunkbase からのアドオンプラグインをインストールする前に、ServiceNow Store からこの統合用のアプリケーションがインストールされていることを確認してください。ServiceNow Store から統合用のアプリケーションをインストールしていない場合は、「Splunk Enterprise Event Ingestion 統合用の ServiceNow アプリケーションのインストールと設定」を参照し、手順に従ってインストールします。
必要なロール:ServiceNow AI Platform アドミニストレーター (admin)
このタスクについて
ServiceNow Security Operations Event Ingestion Addon のインストールと設定はオプションです。
統合用に Splunk Enterprise コンソールから手動でオンデマンドでイベントをエクスポートする場合は、ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise を Splunk Enterprise コンソールにインストールして設定します。
この ServiceNow 拡張アドオンは、ServiceNow AI Platform インスタンスにある手動でエクスポートされたイベントからセキュリティインシデントを作成するために必要です。ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise アプリケーションは splunkbase で入手できます。
手動イベント転送の場合は、Splunk Enterprise コンソールで最大 2 つの異なる ServiceNow AI Platform エンドポイント (インスタンス) を特定できます。イベントをエンドポイントに手動で転送して、セキュリティインシデントを作成します。たとえば、ステージング (開発) インスタンスと本番インスタンスの両方を指定できます。個別のインスタンスを指定し、各インスタンスのプライマリおよびセカンダリワークフローに名前を付けることで、さまざまなイベントの転送先を選択できます。
手順
-
アドオンを設定するには、次のステップを実行します。
-
フォームに記入します。
次の図は、Splunk Enterprise コンソールの完成したフォームの例です。
[ServiceNow プライマリインスタンスを指定] セクションのフィールド 説明 ワークフローアクションラベル 本番 (プライマリ) インスタンスの ServiceNow AI Platform ワークフローの名前。この名前は、Splunk イベントを監視しているユーザーがプライマリインスタンス (ServiceNow Event Ingestion (本番)) として特定する ServiceNow AI Platform インスタンスの名前です。 このフィールドのデフォルトは [ServiceNow Event Ingestion (本番)] です。
Splunk Enterprise コンソールで、このワークフロー名は、検索の展開された [イベントアクション] ドロップダウンリストの本番 (プライマリ) インスタンスに表示されます。この名前は本番インスタンスの名前です。その名前を編集できます。
URL 前のワークフローアクションラベルフィールドに入力した ServiceNow AI Platform インスタンスの URL。 ブラウザーで URL をコピーして、フォームのこのフィールドに貼り付けます。
エンドポイント ベース API パス。詳細については、テーブルの下の図を参照してください。 ServiceNow AI Platform 本番インスタンスのエンドポイントの値がない場合は、次のステップを実行します。
- システムアドミニストレーター (admin) ロールを持つユーザーとして ServiceNow AI Platform 本番インスタンスにログインします。
- ナビゲーションパネルに「スクリプト済み REST API」と入力します。
- ナビゲーションパネルが更新されたら、表示される [スクリプト済み REST API] モジュールを選択します。
- 表示される [スクリプト済み REST API] リストの [名前] 列に Event Ingestion が表示されない場合は、上部の検索フィールドに「Event Ingestion」と入力します。
- 更新されたページの [ベース API パス] 列で、この値をコピーしてフォームの [エンドポイント] フィールドに貼り付けます。ベース API パスの例は、/api/sn_sec_splunk_v2/event_ingestion です。
ユーザー名 ServiceNow AI Platform インスタンスのユーザー名。この名前は、手動イベント転送のために (sn_sec_splunk_v2.api_account_access) ロールを持つユーザーを割り当てた ServiceNow AI Platform インスタンスのユーザー名です。 このロールの割り当ての詳細については、「Splunk Enterprise Event Ingestion 統合での ServiceNow AI Platform インスタンスの設定」を参照してください。
パスワード ServiceNow AI Platform インスタンスのパスワード。 このパスワードは、手動イベント転送のために (sn_sec_splunk_v2.api_account_access) ロールを持つユーザーを割り当てた ServiceNow AI Platform インスタンスのパスワードです。
(オプション) [ServiceNow セカンダリインスタンスを指定] セクションのフィールド 説明 これらのフィールドはオプションです。セカンダリインスタンスを指定する必要はありません。
ワークフローアクションラベル セカンダリ (ステージング) インスタンスの ServiceNow AI Platform ワークフローの名前。この名前は、Splunk イベントを監視しているユーザーがセカンダリインスタンス (ServiceNow Event Ingeston (ステージング)) として特定する ServiceNow AI Platform インスタンスの名前です。 Splunk Enterprise コンソールで、このワークフロー名は、検索の展開された [イベントアクション] ドロップダウンリストのステージング (セカンダリ) インスタンスに表示されます。この ServiceNow AI Platform インスタンスはステージングインスタンスです。その名前を編集できます。
URL セカンダリ ServiceNow AI Platform インスタンスの前のワークフローアクションラベルフィールドに入力した ServiceNow AI Platform インスタンスの URL。 ブラウザーで URL をコピーして、フォームのこのフィールドに貼り付けます。
エンドポイント ベース API パス。セカンダリインスタンスのベース API パスのこの値は、プライマリインスタンスのベース API パスと同じ値です。詳細については、フォームの前の図を参照してください。 ユーザー名 ServiceNow AI Platform ステージングインスタンスのユーザー名。ユーザーは (sn_sec_splunk_v2.api_account_access) ロールを持っている必要があります。 パスワード ServiceNow AI Platform ステージングインスタンスのパスワード。ユーザーは (sn_sec_splunk_v2.api_account_access) ロールを持っている必要があります。 次の図は、ServiceNow AI Platform のスクリプト済み REST API リストの例です。リストには、Splunk Enterprise コンソールで ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise 拡張機能の設定の一部としてフォームに入力した ServiceNow AI Platform インスタンスのエンドポイント値の場所が表示されます。図 : 1. の [スクリプト済み REST API] リスト ServiceNow AI Platform -
フォームに記入します。
次のタスク
Splunk Enterprise コンソールに検索をまだ保存していない場合は、次のステップで Splunk Enterprise コンソールに検索をアラートとして保存します。