Configure sua instância Now Platform para a integração Splunk Enterprise Security

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • A seção a seguir lista as tarefas de configuração que você deve concluir na instância Now Platform® antes de instalar a aplicação a partir do ServiceNow Store.

    Função necessária: administrador

    Consulte a tabela a seguir e verifique se você concluiu todas as tarefas listadas antes de baixar e instalar a aplicação para garantir uma instalação e configuração sem problemas.

    1. Verifique se você atribuiu as funções Now Platform® e Resposta a incidentes de segurança (SIR).

      As funções a seguir são necessárias para a instalação, configuração e uso da integração em sua instância Now Platform®.

      • Um usuário com a função de administrador Now Platform® (admin) instala a aplicação a partir do ServiceNow Store e atribui a função de administrador de incidentes de segurança (sn_si.admin).
      • Se você quiser encaminhar eventos notáveis manualmente de Splunk Enterprise Security para esta integração, um usuário com a função de administrador Now Platform® atribuirá um usuário com a função (sn_sec_splunkes.api_account_access) no Now Platform®. Esta função permite que um usuário com a função de administrador Splunk Enterprise Security acesse a API no Now Platform® que é necessária para o encaminhamento manual de eventos para esta integração.

        A função (sn_sec_splunkes.api_account_access) não será necessária para a integração se você estiver ingerindo eventos notáveis automaticamente de Splunk Enterprise Security para sua instância Now Platform®.

      • Um usuário com a função sn_si.admin supervisiona as seguintes tarefas no Now Platform®:
        • Nomeia, cria e edita perfis de evento.
        • Seleciona e mapeia valores de Splunk Enterprise Security para Now Platform® incidentes de segurança.
        • Visualiza os detalhes do incidente de segurança para precisão antes de finalizar a configuração.
        • Programa a ingestão contínua de eventos notáveis.
        • Habilita atualizações de eventos notáveis quando um incidente SIR é criado e encerrado.
        • Atribui a função de analista de incidentes de segurança (sn_si.analyst).
        • Usuários com sn_si.analyst trabalham com incidentes de segurança.

      Para obter mais informações, consulte Managing roles.

    2. Atribua a função de usuário Splunk.

      Atribua uma função de usuário de Analista de segurança (ess_analyst) no Splunk ES para executar todas as atividades relacionadas à integração no servidor Splunk.

    3. Verifique se você está usando a versão 7.2.6 ou posterior da API Splunk. Versões anteriores não são compatíveis.

      Se você tiver acesso ao console Splunk Enterprise Security, terá acesso à API necessária para esta integração. Não há nenhuma outra configuração especial necessária para a API.

    4. Verifique se você instalou e configurou um MID Server.

      Um MID Server em sua instância Now Platform® é necessário para se conectar ao serviço Splunk se o servidor Splunk estiver implantado em sua rede corporativa. Para obter informações, consulte MID Server.

      Se você estiver usando o serviço em nuvem Splunk Enterprise Security, um MID Server não será necessário.

    5. Verifique se as ServiceNow aplicações principais necessárias para oferecer suporte à integração estão instaladas e ativadas.

      O plug-in Resposta a incidentes de segurança Dependency (com.snc.si_dep) é necessário. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Resposta a incidentes de segurança. Instale e ative este plug-in antes de instalar e ativar as outras Operações de segurança aplicações necessárias para a integração.

      Verifique se as seguintes Operações de segurança aplicações estão instaladas e ativadas a partir de ServiceNow Store. Se não estiver instalado, instale e ative uma aplicação de cada vez na seguinte ordem para garantir uma instalação sem problemas.

      1. Security Incident Response
      2. Security Integration Framework
      3. Suporte de segurança comum

      Para obter mais informações sobre como instalar as aplicações principais Operações de segurança, consulte Obter direito de um produto ou aplicação Operações de segurança e Ativar uma aplicação ServiceNow Store.

    Você configurou com sucesso sua instância Now Platform® para a integração. A próxima etapa é instalar a aplicação Splunk Enterprise Security de ingestão de eventos notáveis a partir do ServiceNow Store para a integração. Para obter mais informações, consulte Instalar e configurar a aplicação ServiceNow para a integração de ingestão de eventos notáveis Splunk Enterprise Security.

    Se você quiser exportar eventos notáveis manualmente e sob demanda do console Splunk Enterprise Security para a integração, consulte Configure o ambiente Splunk para ingestão manual de eventos para a integração Splunk Enterprise Security de ingestão de eventos notáveis para obter mais informações.