Splunk Enterprise Event Ingestion 統合での ServiceNow AI Platform インスタンスの設定

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:5分

    • 次のセクションでは、ServiceNow Store からアプリケーションをインストールする前に ServiceNow AI Platform® インスタンスで完了する必要があるセットアップタスクを示します。

    始める前に

    必要なロール:admin

    このタスクについて

    スムーズなインストールと構成を行うために、 アプリケーションをダウンロードしてインストールする前に、次のテーブルを参照して、リストされたすべてのタスクを完了していることを確認してください。

    手順

    1. 必要な ServiceNow AI Platform® およびセキュリティインシデントレスポンス (SIR) のロールがアサインされていることを確認します。

      ServiceNow AI Platform® インスタンスで統合をインストール、セットアップ、および使用するには、次のロールが必要です。

      • ServiceNow AI Platform® アドミン (admin) ロールを持つユーザーが ServiceNow Store からアプリケーションをインストールし、セキュリティインシデントアドミン (sn_si.admin) ロールをアサインします。
      • この統合のために Splunk Enterprise から手動でイベントを転送する場合は、ServiceNow AI Platform® admin ロールを持つユーザーが ServiceNow AI Platform® で (sn_sec_splunk_v2.api_account_access) ロールを持つユーザーをアサインします。このロールは、Splunk Enterprise アドミンロールを持つユーザーが、この統合の手動イベント転送に必要な ServiceNow AI Platform® の API にアクセスすることを許可します。

        Splunk Enterprise から ServiceNow AI Platform® インスタンスに自動的にアラートを取り込む場合、統合に (sn_sec_splunk_v2.api_account_access) ロールは必要ありません。

      • sn_si.ingestion_profile_admin ロールを持つユーザーは、ServiceNow AI Platform®内の次のタスクを監督します。
        • アラートとイベントプロファイルに名前を付け、作成し、編集します。
        • アラートとイベントから値を選択し、ServiceNow AI Platform® セキュリティインシデントにマップします。
        • 構成を確定する前に、正確性を確認するためにセキュリティインシデントの詳細をプレビューします。
        • 進行中のアラートの取り込みをスケジュールします。
        • セキュリティインシデントアナリスト (sn_si.analyst) ロールをアサインします。
        • sn_si.analyst を持つユーザーは、セキュリティインシデントを処理します。

      ロールとユーザーへのロールのアサインの詳細については、「Managing roles」を参照してください。

    2. Splunk API のバージョン 6.0 以降を使用していることを確認します。

      Splunk Enterprise コンソールへのアクセス権がある場合は、この統合に必要な API にアクセスできます。API に必要なその他の特別なセットアップはありません。

    3. MID サーバーがインストールおよび設定されていることを確認します。

      Splunk サーバーが企業ネットワーク内に展開されている場合、ServiceNow AI Platform® インスタンスの MID サーバーを Splunk サービスに接続する必要があります。MID サーバーの詳細については、「MID サーバー」を参照してください。

      Splunk Cloud サービスを使用している場合、MID サーバーは必要ありません。

    4. 統合をサポートするために必要な ServiceNow コアアプリケーションがインストールされ、アクティブ化されていることを確認します。

      セキュリティインシデントレスポンス Dependency プラグイン (com.snc.si_dep) が必要です。このプラグインは、セキュリティインシデントレスポンス 製品をサポートするために必要なすべての依存関係を自動的にインストールします。統合に必要な他の セキュリティオペレーション アプリケーションをインストールしてアクティブ化する前に、このプラグインをインストールしてアクティブ化します。

      次の セキュリティオペレーション アプリケーションが、ServiceNow Store からインストールされ、アクティブ化されていることを確認します。インストールされていない場合は、スムーズにインストールできるように、次の順序で一度に 1 つずつアプリケーションをインストールしてアクティブ化します。

      1. セキュリティインシデントレスポンス
      2. Security Integration Framework
      3. Security Support Common
      4. セキュリティサポートオーケストレーション

      セキュリティオペレーション コアアプリケーションのインストールの詳細については、「セキュリティオペレーション 製品またはアプリケーションのエンタイトルメントの取得」および「ServiceNow Store アプリケーションのアクティブ化」を参照してください。

    次のタスク

    統合のために ServiceNow AI Platform® インスタンスが正常に設定されました。次のステップでは、統合のために ServiceNow Store から Splunk Enterprise Event Ingestion アプリケーションをインストールします。詳細については、「Splunk Enterprise Event Ingestion 統合用の ServiceNow アプリケーションのインストールと設定」を参照してください。

    取り込み用に Splunk Enterprise コンソールに検索を保存していない場合、または Splunk Enterprise コンソールと ServiceNow AI Platform® インスタンスの セキュリティオペレーション 製品でこの統合の初期設定を同時に実行している場合は、詳細について「Splunk Enterprise Event Ingestion 統合での Splunk Enterprise コンソールへの検索の保存」を参照してください。

    統合のために Splunk Enterprise コンソールから手動でオンデマンドでイベントをエクスポートする場合、詳細については「Splunk Enterprise イベントの取り込み統合での手動イベント取り込み用の Splunk 環境設定」を参照してください。