Configure sua instância Now Platform para a integração Splunk Enterprise Event Ingestion

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • A seção a seguir lista as tarefas de configuração que você deve concluir na instância Now Platform® antes de instalar a aplicação a partir do ServiceNow Store.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Consulte a tabela a seguir e verifique se você concluiu todas as tarefas listadas antes de baixar e instalar a aplicação para garantir uma instalação e configuração sem problemas.

    Procedimento

    1. Verifique se você atribuiu as funções Now Platform® e Security Incident Response (SIR) necessárias.

      As funções a seguir são necessárias para a instalação, configuração e uso da integração em sua instância Now Platform®.

      • Um usuário com a função de administrador Now Platform® (admin) instala a aplicação a partir do ServiceNow Store e atribui a função de administrador de incidentes de segurança (sn_si.admin).
      • Se você quiser encaminhar eventos manualmente de Splunk Enterprise para esta integração, um usuário com a função de administrador Now Platform® atribuirá um usuário com a função (sn_sec_splunk_v2.api_account_access) no Now Platform®. Esta função permite que um usuário com a função de administrador Splunk Enterprise acesse a API no Now Platform® que é necessária para o encaminhamento manual de eventos para esta integração.

        A função (sn_sec_splunk_v2.api_account_access) não será necessária para a integração se você estiver ingerindo alertas automaticamente de Splunk Enterprise para sua instância Now Platform®.

      • Um usuário com a função sn_si.admin supervisiona as seguintes tarefas no Now Platform®:
        • Nomeia, cria e edita perfis de alerta e evento.
        • Seleciona e mapeia valores de alertas e eventos para Now Platform® incidentes de segurança.
        • Visualiza os detalhes do incidente de segurança para precisão antes de finalizar a configuração.
        • Programa a ingestão de alertas contínuos.
        • Atribui a função de analista de incidentes de segurança (sn_si.analyst).
        • Usuários com sn_si.analyst trabalham com incidentes de segurança.

      Para obter mais informações sobre funções e como atribuir funções a usuários, consulte Managing roles.

    2. Verifique se você está usando a versão 6.0 ou posterior da API Splunk.

      Se você tiver acesso ao console Splunk Enterprise, terá acesso à API necessária para esta integração. Não há nenhuma outra configuração especial necessária para a API.

    3. Verifique se você instalou e configurou um MID Server.

      Um MID Server em sua instância Now Platform® é necessário para se conectar ao serviço Splunk se o servidor Splunk estiver implantado em sua rede corporativa. Para obter mais informações sobre MID servers, consulte MID Server

      Se você estiver usando o serviço Splunk Cloud, um MID Server não será necessário.

    4. Verifique se as ServiceNow aplicações principais necessárias para oferecer suporte à integração estão instaladas e ativadas.

      O plug-in Resposta a incidentes de segurança Dependency (com.snc.si_dep) é necessário. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Resposta a incidentes de segurança. Instale e ative este plug-in antes de instalar e ativar as outras Operações de segurança aplicações necessárias para a integração.

      Verifique se as Operações de segurança aplicações a seguir estão instaladas e ativadas a partir do ServiceNow Store. Se não estiver instalado, instale e ative uma aplicação de cada vez na seguinte ordem para garantir uma instalação sem problemas.

      1. Resposta a incidentes de segurança
      2. Estrutura de integração de segurança
      3. Security Support Common
      4. Orquestração de suporte de segurança

      Para obter mais informações sobre como instalar as aplicações principais Operações de segurança, consulte Obter direito de um produto ou aplicação Operações de segurança e Ativar uma aplicação ServiceNow Store.

    O que Fazer Depois

    Você configurou com sucesso sua instância Now Platform® para a integração. A próxima etapa é instalar a aplicação Splunk Enterprise Event Ingestion da ServiceNow Store para a integração. Para obter mais informações, consulte Instalar e configurar a aplicação ServiceNow para a integração Splunk Enterprise Event Ingestion.

    Se você não salvou pesquisas no console Splunk Enterprise para ingestão ou se estiver executando a configuração inicial desta integração no console Splunk Enterprise e no produto Operações de segurança da sua instância Now Platform®, consulte Salvar pesquisas no console Splunk Enterprise para a integração Splunk Enterprise Event Ingestion para obter mais informações.

    Se você quiser exportar eventos manualmente e sob demanda do console Splunk Enterprise para a integração, consulte Configure seu ambiente Splunk para ingestão manual de eventos para a integração de ingestão de eventos Splunk Enterprise para obter mais informações.