Arquitetura de integração e conexão de sistemas externos para Splunk Enterprise Event Ingestion integração

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • O tópico a seguir descreve a arquitetura de integração desenvolvida para oferecer suporte à ingestão de alertas acionados do Splunk Enterprise console. Esta informação esclarece, em alto nível, o funcionamento conceitual da integração. Ele também explica por que há etapas de configuração necessárias antes de instalar a aplicação do ServiceNow Store.

    Principais termos usados para esta integração

    Os termos-chave a seguir são usados durante a instalação e a configuração. Para obter mais informações sobre esses termos, consulte Site de documentação do produto da ServiceNow e o. Site da Splunk e recursos em Recursos do Splunk página.

    ServiceNow AI Platform
    Uma empresa ServiceNow produto. . ServiceNow AI Platformé a base sobre a qual componentes individuais, como Resposta a incidentes de segurança( SIR IT Service Management (ITSM) e outros produtos são criados.
    ServiceNow Splunkbase add
    . ServiceNow aplicação que está instalada no seu Splunk Enterprise console que oferece suporte à opção de encaminhamento de eventos manual da integração. O encaminhamento manual de eventos é um recurso opcional da integração. Isso ServiceNow O complemento Splunkbase não é necessário para a ingestão automatizada de alertas fornecida pela integração.
    Resposta a incidentes de segurança (SIR)
    . ServiceNow AI Platform aplicação que rastreia o andamento de incidentes de segurança desde a descoberta e a análise inicial, até contenção, erradicação e recuperação, e até a revisão e fechamento finais pós-incidente.
    Splunk Enterprise
    Um produto automatizado de gestão de eventos de incidentes de segurança (SIEM) ou serviço em nuvem que coleta dados usados para análise e gestão de incidentes. Este serviço está em um host que às vezes também é chamado de Splunkneste guia.
    Splunk alerta
    Uma pesquisa que você configura e salva em Splunk para verificar dados específicos com base nos parâmetros configurados no Splunk Enterprise serviço. Quando você extrai alertas de Splunk você também extrai todos os eventos associados a esse alerta.
    Splunk alerta acionado
    Uma pesquisa configurada no Splunk Enterprise console que retorna resultados e sinaliza esses resultados como alertas acionados. Os alertas acionados são ingeridos do Splunk console em seu ServiceNow AI Platform instância desta integração. Os alertas acionados têm um ou mais Splunk eventos.
    Splunk evento
    Um ou mais elementos de dados que resultam nos alertas acionados do Splunk serviço. Do seu ServiceNow AI Platform instância, você pode pesquisar qual Splunk eventos acionados ServiceNow AI Platform incidentes de segurança.
    MID Server
    Esta aplicação facilita a comunicação e a movimentação de dados entre o. ServiceNow AI Platform e aplicações externas, fontes de dados e serviços. Normalmente, esta aplicação é necessária para integração com tecnologias no local e, para isso Splunk Enterprise Event Ingestion O MID Server facilita a comunicação entre o. ServiceNow AI Platform e a instância no local de Splunk Enterprise. Um MID Server não será necessário se você estiver integrando seu ServiceNow AI Platform instância com um Splunk Cloud instância.
    Administrador de incidentes de segurança (sn_si.admin)
    O usuário com esta função supervisiona a configuração da integração com SIR produto em seu ServiceNow AI Platform instância.
    Analista de incidentes de segurança (sn_si.analyst)
    O usuário com esta função interage com e analisa incidentes de segurança no ServiceNow Resposta a incidentes de segurança produto.
    Administrador de perfil de incidente de segurança (sn_si.ingestion_profile_admin)
    O usuário com esta função configura o plug-in, cria, edita, exclui e mantém perfis de ingestão para Azure Sentinel, Splunk e Splunk ES Integration para SIR produto em seu ServiceNow AI Platform instância.

    Conexão de sistemas externos

    Um perfil de evento é um contêiner que você cria, nomeia e configura para uma conexão singular e chama para Splunk serviço para extrair os alertas acionados mais atuais que correspondem a critérios específicos. Alertas acionados que correspondem ao seu perfil foram extraídos de Splunk, você seleciona quais desses alertas deseja exibir como ServiceNow AI Platform Resposta a incidentes de segurança SIR incidente de segurança. Uma exibição padrão do Splunk Enterprise os campos de alerta estão disponíveis e você edita este mapeamento de campos de alerta para os campos em um SIR incidente de segurança para atender às suas necessidades. Você visualiza seu mapeamento para verificar se todos os valores de campo de alerta necessários estão preenchidos no SIR incidente de segurança. Para concluir a configuração do perfil de alerta, programe a recuperação de alertas e ative o perfil. Depois de ativar o perfil no ServiceNow AI Platform, você está pronto para ingerir históricos e em andamento Splunk alertas automaticamente.

    Como um usuário com a função sn_si.admin, se você determinar que um novo alerta acionado é semelhante aos alertas ingeridos anteriormente, poderá agregar novos alertas acionados aos existentes SIR incidentes de segurança. Você define critérios para especificar valores de campo de destino correspondentes em Splunk Enterprise perfil de alerta que define quando um incidente de segurança existente é atualizado e quando um novo incidente de segurança é criado. Se o recurso de agregação estiver habilitado em seu perfil de evento, quando o conjunto de importação for transformado, seu ServiceNow AI Platform a instância verifica se há um registro existente na tabela de destino que tenha o mesmo valor nos campos de destino e origem. Se um registro existente com um valor correspondente na tabela de destino for encontrado, esse registro será atualizado. Se nenhum registro correspondente for encontrado, um novo registro será criado na tabela de destino. Se habilitada, a opção de agregação atualizará os incidentes de segurança existentes com novos alertas acionados e você evitará a criação de vários incidentes de segurança. Para obter mais informações sobre como atualizar registros usando opções de agregação, consulte Atualizando registros usando aglutinação .

    Esta aplicação usa Splunk Serviço de API para recuperar informações do Splunk serviço. Uma conexão HTTPS de saída do MID Server para este ambiente é necessária para que a integração funcione corretamente.

    Depois que ele é conectado ao Splunk, a integração oferece suporte à extração e ingestão de alertas e eventos acionados que acionam incidentes de segurança.

    O fluxo de dados básico é ilustrado nas figuras a seguir. Em cada figura, seu ServiceNow AI Platform extraindo (ingerindo) dados. Splunk não está enviando dados para alertas programados.

    Figura 1. Conexão com no local Splunk Serviço empresarial com MID s únicos servidor
    Conexão com um único MID Server.
    Figura 2. Conexão a um Splunk instância de nuvem corporativa
    Configuração dois.
    Figura 3. Várias conexões com Splunk Serviço empresarial usando vários MID Servers
    MID Servers múltiplos.