Erste Schritte mit der Splunk -Suchintegration für Security Operations

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Die SoftwareSplunk durchsucht, überwacht und analysiert maschinell generierte Big Data und lässt sich problemlos in Security Operationsintegrieren. Bevor Sie die Integration Splunk  – Incident-Anreicherung verwenden können, müssen Sie sie aus dem ServiceNow Store herunterladen und die entsprechende API-Basis-URL und Anmeldeinformationen hinzufügen.

    Vorbereitungen

    Erforderliche Rolle: sn_si_admin

    Prozedur

    1. Laden Sie die Integration aus dem herunter ServiceNow Store.
    2. Wenn die Installation abgeschlossen ist, greifen Sie auf Splunk zu, und rufen Sie den API-Schlüssel und die API-ID unter Ihrem Profil ab.
    3. Navigieren Sie in Ihrer Instanz zu Security Operations > Integrationskonfiguration.
      Die verfügbaren Sicherheitsintegrationen werden als eine Reihe von Karten angezeigt.
    4. Klicken Sie in der Karte „Splunk – Incident-Ergänzung“ auf Neu.
      Splunk – Konfiguration der Incident-Ergänzung
    5. Füllen Sie die Felder nach Bedarf aus.
      Feld Beschreibung
      Name Der Name dieser Konfiguration.
      Basis-URL der Splunk-API Die Basis-URL, die Sie von der Website Splunk erhalten haben.
      Link-URL [Optional] Die Link-URL, die auf die Webschnittstelle Splunk verweist, sofern verfügbar.
      Benutzername Ihr Splunk-Benutzername.
      Passwort Ihr Splunk-Passwort.
      Max. Zeilen Die maximale Anzahl von Zeilen, die Sie durchsuchen möchten.
      Erstes Ergebnis (Tage) Die frühesten Ergebnisse, die Sie anzeigen möchten, in Tagen.
      Rohdatenmuster in Suchergebnissen berücksichtigen Wählen Sie diese Option aus, um Beispiele von Rohdaten in Ihre Sichtungssuchergebnisse aufzunehmen. Die Menge der zurückgegebenen Daten hängt von Ihrer Einstellung in der Eigenschaft „ Anzahl der Zeilen der Rohdaten“ in Security Incident Response-Eigenschaftenab.
      MID-Server Wählen Sie Beliebig aus, um einen beliebigen aktiven MID Server zu verwenden, oder wählen Sie einen bestimmten MID Server-Namen aus.
      Hinweis:
      Durch die Konfiguration dieser Integration werden Workflows aktiviert. Um die Workflows zu verwalten, navigieren Sie zum Workflow-Editor.
    6. Klicken Sie auf Absenden.
      Die Integrationskonfigurationskarte wird angezeigt.
    7. Wenn Sie die neue Konfigurationskarte anzeigen, können Sie auf Konfigurieren oder Löschen klicken, um die Konfiguration zu ändern oder zu löschen.
    8. Um zur ursprünglichen Liste der Integrationskonfigurationskarten zurückzukehren, wählen Sie in der Dropdown-Liste Konfigurationen anzeigen die Option Nein aus.