Configure ou mude a instância em que incidentes ou eventos são criados

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 6 min. de leitura

    • Para configurar ou alterar o. ServiceNowInstância em que novos incidentes de segurança e eventos de segurança são criados, use a ação Configurar na lista de aplicações.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Aberto Splunk .
    2. Clique em Apps ícone de engrenagem ou Gerenciar apps item de menu de atalho.
    3. Na lista de aplicações, pesquise por ServiceNow apps que usam o filtro.
    4. Procure Integração de operações de segurança da ServiceNow e clique no correspondente Configuração ação.
    5. No formulário, preencha os campos.
      CampoDescrição
      Especifique o ServiceNow Server  
      URL URL do Splunk Enterprise Securityconsole ou Splunk Cloudinstância. O URL deve incluir a porta da API, por exemplo: https://mysplunkserver.com:8089
      Tipo de autenticação Opção para selecionar o tipo de autenticação. Você pode selecionar Autenticação básica ou Autenticação do OAuth 2,0 .
      • Se você estiver usando o nome de usuário da conta de API e a senha da API para configuração, habilite o. Autenticação básica caixa de seleção.

        O padrão é desabilitado.

      • Se você estiver usando autenticação OAuth 2,0 para a configuração, habilite o. Autenticação do OAuth 2,0 caixa de seleção.

        O padrão é desabilitado.
      Autenticação básica  
      Nome do usuário Nome de usuário que você criou para sua conta de usuário da API no Splunk Enterprise Securityconsole.
      Senha Senha que você criou para sua conta de usuário da API no Splunk Enterprise Securityconsole.
      Confirmar senha Localize a senha para confirmá-la.
      Autenticação do OAuth 2,0  
      ID de cliente ID do cliente do app criado no ServiceNow Server.
      Segredo do cliente Segredo do cliente do app criado no ServiceNow Server.
      Redirecional URL O URL para o qual será redirecionado. Você pode copiar e colar este URL no URL de redirecionamento do registro da ServiceNow.
      Proxy opcional  
      URL do proxy URL de proxy para seu Splunk Enterprise Securityconsole ou Splunk Cloudinstância.
      Porta Endereço da porta.
      Nome do usuário Nome de usuário que você criou para a conta de proxy no Splunk Enterprise Securityconsole.
      Senha Senha que você criou para a conta de proxy no Splunk Enterprise Securityconsole.
      Confirmar senha Localize a senha para confirmá-la.
      Configuração do nível de registro em log  
      Nível de registro em log O nível de logs de relatórios gerados pela integração, ou seja, o nome do tipo de informação. Você também pode atualizar o valor para as seguintes opções:
      • informações
      • error
      • aviso
      • depurar

      Por padrão, o valor é informações .
      Seleção de API  
      Seleção de API Selecione uma das seguintes APIs:
      • API da tabela
      • API do conjunto de importação

      Configuração da integração de operações de segurança da ServiceNow no Splunk

    6. Clique em Salvar.
    7. Como alternativa, procure Integração de ingestão de eventos da ServiceNow e clique no correspondente Configuração ação.
      A Integração de ingestão de eventos da ServiceNow é configurada em três guias diferentes.
      • Splunk primário : A configuração padrão ou primária do Splunk.
      • Splunk secundário : (Opcional) O backup ou a segunda configuração do Splunk.
      • Nível de registro em log : O nível de logs de relatórios gerados pela integração, ou seja, o nome do tipo de informação.
    8. Selecione Splunk primário .
    9. No formulário, preencha os campos.
      CampoDescrição
      Rótulo de ação do fluxo de trabalho

      Nome do Splunk Enterprise Securityconsole primário ou o. Splunk Cloudinstância primária usada para a integração.

      Espaços são compatíveis com nomes, mas parênteses não são compatíveis. Por exemplo, insira SplunkES2 .
      URL URL do Splunk Enterprise Securityconsole primário ou o. Splunk Cloudinstância primária. O URL deve incluir a porta da API, por exemplo: https://mysplunkserver.com:8089
      Endpoint Endpoint para seu Splunk Enterprise Securityconsole primário ou o. Splunk Cloudinstância primária.
      Tipo de autenticação Opção para selecionar o tipo de autenticação. Você pode selecionar Autenticação básica ou Autenticação do OAuth 2,0 .
      • Se você estiver usando o nome de usuário da conta de API e a senha da API para configuração, habilite o. Autenticação básica caixa de seleção.

        O padrão é desabilitado.

      • Se você estiver usando autenticação OAuth 2,0 para a configuração, habilite o. Autenticação do OAuth 2,0 caixa de seleção.

        O padrão é desabilitado.
      Autenticação básica  
      Nome do usuário Nome de usuário que você criou para sua conta de usuário da API no Splunk Enterprise Securityconsole.
      Senha Senha que você criou para sua conta de usuário da API no Splunk Enterprise Securityconsole.
      Confirmar senha Localize a senha para confirmá-la.
      Autenticação do OAuth 2,0  
      ID de cliente ID do cliente do app criado no ServiceNow Server. Para obter informações sobre como obter o ID do cliente, consulte Configure o registro da aplicação na instância da ServiceNow
      Segredo do cliente Segredo do cliente do app criado no servidor. Para obter informações sobre como obter o segredo do cliente, consulte Configure o registro da aplicação na instância da ServiceNow
      Redirecional URL O URL para o qual será redirecionado. Você pode copiar e colar este URL no URL de redirecionamento do registro da ServiceNow. Para obter informações, consulte Configure o registro da aplicação na instância da ServiceNow
      Configuração de proxy opcional  
      URL do proxy URL de proxy para seu Splunk Enterprise Securityconsole secundário ou Splunk Cloudinstância secundária.
      Porta Endereço da porta.
      Nome do usuário Nome de usuário que você criou para a conta de proxy no Splunk Enterprise Securityconsole secundário.
      Senha Senha que você criou para a conta de proxy no Splunk Enterprise Securityconsole secundário.
      Confirmar senha Localize a senha para confirmá-la.

      Configuração da integração de ingestão de eventos da ServiceNow no Splunk

    10. Opcional: Selecione Splunk secundário .
    11. Opcional: No formulário, preencha os campos.
      CampoDescrição
      Rótulo de ação do fluxo de trabalho

      Nome do Splunk Enterprise Securityconsole secundário ou o. Splunk Cloudinstância secundária usada para a integração.

      Espaços são compatíveis com nomes, mas parênteses não são compatíveis. Por exemplo, insira SplunkES2 .
      URL URL do Splunk Enterprise Securityconsole secundário ou o. Splunk Cloudinstância secundária. O URL deve incluir a porta da API, por exemplo: https://mysplunkserver.com:8089
      Endpoint Endpoint para seu Splunk Enterprise Securityconsole secundário ou o. Splunk Cloudinstância secundária.
      Tipo de autenticação Opção para selecionar o tipo de autenticação. Você pode selecionar Autenticação básica ou Autenticação do OAuth 2,0 .
      • Se você estiver usando o nome de usuário da conta de API e a senha da API para configuração, habilite o. Autenticação básica caixa de seleção.

        O padrão é desabilitado.

      • Se você estiver usando autenticação OAuth 2,0 para a configuração, habilite o. Autenticação do OAuth 2,0 caixa de seleção.

        O padrão é desabilitado.
      Autenticação básica  
      Nome do usuário Nome de usuário que você criou para sua conta de usuário da API no Splunk Enterprise Securityconsole.
      Senha Senha que você criou para sua conta de usuário da API no Splunk Enterprise Securityconsole.
      Confirmar senha Localize a senha para confirmá-la.
      Autenticação do OAuth 2,0  
      ID de cliente ID do cliente do app criado no ServiceNow Server.
      Segredo do cliente Segredo do cliente do app criado no ServiceNow Server.
      Redirecional URL O URL para o qual será redirecionado. Você pode copiar e colar este URL no URL de redirecionamento do registro da ServiceNow.
      Configuração de proxy opcional  
      URL do proxy URL de proxy para seu Splunk Enterprise Securityconsole secundário ou Splunk Cloudinstância secundária.
      Porta Endereço da porta.
      Nome do usuário Nome de usuário que você criou para a conta de proxy no Splunk Enterprise Securityconsole secundário.
      Senha Senha que você criou para a conta de proxy no Splunk Enterprise Securityconsole secundário.
      Confirmar senha Localize a senha para confirmá-la.
    12. Selecione Nível de registro em log .
    13. No formulário, preencha os campos.
      CampoDescrição
      Nível de Log O nível de logs de relatórios gerados pela integração, ou seja, o nome do tipo de informação. Você também pode atualizar o valor para as seguintes opções:
      • informações
      • error
      • aviso
      • depurar

      Por padrão, o valor é informações .
    14. Clique em Salvar.
      Após a validação ser concluída com sucesso, a página Integrações de segurança será exibida com cada uma de suas configurações. Em cada bloco de configuração válido, Atualizar e. Excluir os botões são exibidos conforme mostrado na figura a seguir.
      Nota:
      Você precisa usar autenticação básica ou autenticação OAuth 2,0 somente. Habilite uma das autenticações e insira os detalhes de autenticação correspondentes. Habilitar ambos exibirá um erro.

      Cada evento é validado e enviado com sucesso SplunkA configuração do servidor é salva na página Integrações de segurança como um bloco. Se os blocos de configuração salvos não forem exibidos na página Integrações de segurança, no canto superior direito da página, na lista Mostrar configurações, clique em Sim .