Configure e habilite a integração do Splunk

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • A integração de aprimoramento do Splunk pesquisa seus logs e adiciona informações de vista relevantes.

    Antes de Iniciar

    Antes de usar o Splunk Search, você deve baixá-lo na ServiceNow Store.

    Função necessária: sn_sec_tisc.admin

    • O plug-in Central de segurança do Inteligência contra ameaças deve ser instalado e ativado antes que você possa usar a integração do Splunk Search.
    • Obtenha o Splunk e a Pesquisa Splunk e obtenha o URL base da API, o URL do link, o nome de usuário e a senha da sua instância do Splunk.

    Procedimento

    1. Usando sua instância, acesse Central de segurança do Inteligência contra ameaças .
    2. Baixe a integração do ServiceNow Store.
    3. Quando a instalação estiver concluída, navegue até Espaços > Central de segurança de inteligência contra ameaças.
    4. Selecionar Integrações > Integrações de aprimoramento > Todas as integrações.
    5. Como alternativa, você pode navegar até Integrações > Integrações de aprimoramento > Todas as integrações > Pesquisa de Vistas
      As integrações configuradas aparecem como uma série de cartões.
    6. Em Splunk Search cartão, clique em Configurar Novo Aprimoramento para configurar Splunk Search integração.
    7. Preencha os campos no formulário Configurar novo aprimoramento.
      Tabela 1. Integração de aprimoramento
      Campo Descrição
      Nome Insira um nome para a configuração de pesquisa de vistas.
      Nome do fornecedor Nome do fornecedor Os detalhes do fornecedor selecionado são preenchidos por padrão. Por exemplo, Splunk.
      Tipo de Integração Tipo de integração que você selecionou. Por exemplo, Pesquisa de ameaças.
      Descrição Insira a descrição da integração do Splunk. Por exemplo, a integração de aprimoramento do Splunk ajuda na investigação de um observável, oferecendo suporte à consulta de logs em sua implantação do Splunk em relação a indicadores potencialmente mal-intencionados.
      Configuração de integração
      URL base da API Splunk O URL base que você adquiriu do site Splunk.
      URL do Link URL do link que vincula à interface da web do Splunk, quando disponível.
      Nome do usuário Seu nome de usuário do Intel Elasticsearch.
      Senha Sua senha do Intel Elasticsearch.
      Máximo de linhas O número máximo de linhas que você deseja pesquisar.
      Resultado Mais Antigo (dias) Os primeiros resultados que você deseja ver em número de dias.
      Incluir amostras de dados brutos nos resultados da pesquisa Selecione esta opção para incluir amostras de dados brutos nos resultados de pesquisa de avistamentos. A quantidade de dados retornados depende da sua configuração na propriedade Número de linhas de dados brutos em Propriedades de resposta do incidente de segurança .
      Implantação no Local O ambiente implantado no local.
      MID Server Selecione Qualquer para usar qualquer MID Server ativo ou selecione um nome de MID Server específico.
      Nota:
      Configurar esta integração ativa fluxos de trabalho. Para gerenciar os fluxos de trabalho, navegue até o Editor de fluxo de trabalho.
    8. Clique em Salvar.
      Os detalhes da integração são validados e, por padrão, o status da integração do Splunk é desabilitado.
    9. Clique em Habilitar Para habilitar a integração do Splunk.

    Resultado

    Depois de configurado, o Splunk pode ser selecionado para executar a pesquisa de vistas em observáveis na Central de segurança da Inteligência contra ameaças.