Richten Sie die Instanz ein, in der Incidents oder Events erstellt werden, oder ändern Sie sie

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Um die Instanz ServiceNow einzurichten oder zu ändern, in der neue Security Incidents und Sicherheits-Ereignisse erstellt werden, verwenden Sie die Aktion Setup in der Anwendungsliste.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Öffnen Sie Splunk.
    2. Klicken Sie entweder auf das Zahnradsymbol für Apps oder auf das Kontextmenüelement Apps verwalten.
    3. Suchen Sie in der Liste der Anwendungen mithilfe des Filters nach ServiceNow -Apps.
    4. Suchen Sie nach der ServiceNow Security Operations-Integrationund klicken Sie auf die entsprechende Aktion Einrichten.
    5. Füllen Sie die Felder des Formulars aus.
      FeldBeschreibung
      Geben Sie ServiceNow-Server an  
      URL URL für Ihre Splunk Enterprise Security -Konsole oder Splunk Cloud -Instanz. Die URL muss den API-Port enthalten, z. B.: https://mysplunkserver.com:8089
      Authentifizierungstyp Option zum Auswählen des Authentifizierungstyps. Sie können Standardauthentifizierung oder OAuth 2.0-Authentifizierungauswählen.
      • Wenn Sie für die Konfiguration den API- Kontobenutzernamenund das API-Passwort verwenden, aktivieren Sie das Kontrollkästchen Standardauthentifizierung.

        Standardmäßig deaktiviert.

      • Wenn Sie die OAuth 2.0-Authentifizierung für die Konfiguration verwenden, aktivieren Sie das Kontrollkästchen OAuth 2.0-Authentifizierung.

        Standardmäßig deaktiviert.
      Standardauthentifizierung  
      Benutzername Benutzername, den Sie für Ihr API-Benutzerkonto in der Konsole Splunk Enterprise Security erstellt haben.
      Passwort Passwort, das Sie für Ihr API-Benutzerkonto in der Konsole Splunk Enterprise Security erstellt haben
      Passwort bestätigen Geben Sie das Passwort ein, um es zu bestätigen.
      OAuth 2.0-Authentifizierung  
      Client-ID Client-ID der auf dem ServiceNow-Server erstellten App.
      Geheimer Clientschlüssel Geheimer Clientschlüssel der auf dem ServiceNow-Server erstellten App.
      Umleitungs-URL Die URL, an die umgeleitet werden soll. Sie können diese URL kopieren und in die Umleitungs-URL der ServiceNow-Registrierung einfügen.
      Optionaler Proxy  
      Proxy-URL Proxy-URL für Ihre Splunk Enterprise Security -Konsole oder Splunk Cloud -Instanz.
      Port Adresse des Ports.
      Benutzername Benutzername, den Sie für das Proxy-Konto in der Konsole Splunk Enterprise Security erstellt haben.
      Passwort Passwort, das Sie für das Proxy-Konto in der Konsole Splunk Enterprise Security erstellt haben.
      Passwort bestätigen Geben Sie das Passwort ein, um es zu bestätigen.
      Setup der Protokollierungsebene  
      Protokollierungsebene Die Ebene der von der Integration generierten Berichtsprotokolle, d. h. der Name des Informationstyps. Sie können den Wert auch auf die folgenden Optionen aktualisieren:
      • Info
      • Fehler
      • warnen
      • debuggen

      Standardmäßig ist der Wert info.
      API-Auswahl  
      API-Auswahl Wählen Sie eine der folgenden APIs aus:
      • Tabellen-API
      • Importsatz-API

      ServiceNow Security Operations Integration auf Splunk eingerichtet

    6. Klicken Sie auf Speichern.
    7. Alternativ können Sie nach der ServiceNow Event Ingestion Integrationsuchen und auf die entsprechende Aktion „ Einrichten “ klicken.
      Die ServiceNow Event Ingestion Integration ist auf drei verschiedenen Registerkarten konfiguriert.
      • Splunk Primär: Die standardmäßige oder primäre Splunk-Konfiguration.
      • Splunk sekundär: (Optional) Die Sicherungs- oder zweite Splunk-Konfiguration.
      • Protokollierungsebene: Die Ebene der von der Integration generierten Berichtsprotokolle, d. h. der Name des Informationstyps.
    8. Wählen Sie die Registerkarte Splunk Primär aus.
    9. Füllen Sie die Felder des Formulars aus.
      FeldBeschreibung
      Bezeichnung der Workflow-Aktion

      Name der primären Konsole [ Splunk Enterprise Security oder der primären Instanz Splunk Cloud, die für die Integration verwendet wird.

      Leerzeichen werden für Namen unterstützt, Klammern jedoch nicht. Geben Sie beispielsweise SplunkES2ein.
      URL URL für Ihre Splunk Enterprise Security primäre Konsole oder die Splunk Cloud primäre Instanz. Die URL muss den API-Port enthalten, z. B.: https://mysplunkserver.com:8089
      Endpunkt Endpunkt für Ihre Splunk Enterprise Security primäre Konsole oder die Splunk Cloud primäre Instanz.
      Authentifizierungstyp Option zum Auswählen des Authentifizierungstyps. Sie können Standardauthentifizierung oder OAuth 2.0-Authentifizierungauswählen.
      • Wenn Sie für die Konfiguration den API- Kontobenutzernamenund das API-Passwort verwenden, aktivieren Sie das Kontrollkästchen Standardauthentifizierung.

        Standardmäßig deaktiviert.

      • Wenn Sie die OAuth 2.0-Authentifizierung für die Konfiguration verwenden, aktivieren Sie das Kontrollkästchen OAuth 2.0-Authentifizierung.

        Standardmäßig deaktiviert.
      Standardauthentifizierung  
      Benutzername Benutzername, den Sie für Ihr API-Benutzerkonto in der Konsole Splunk Enterprise Security erstellt haben.
      Passwort Passwort, das Sie für Ihr API-Benutzerkonto in der Konsole Splunk Enterprise Security erstellt haben
      Passwort bestätigen Geben Sie das Passwort ein, um es zu bestätigen.
      OAuth 2.0-Authentifizierung  
      Client-ID Client-ID der auf dem ServiceNow-Server erstellten App. Informationen zum Abrufen der Client-ID finden Sie unter Konfigurieren Sie die Anwendungsregistrierung in der ServiceNow-Instanz
      Geheimer Clientschlüssel Geheimer Clientschlüssel der auf dem Server erstellten App. Informationen zum Abrufen des geheimen Clientschlüssels finden Sie unter Konfigurieren Sie die Anwendungsregistrierung in der ServiceNow-Instanz
      Umleitungs-URL Die URL, an die umgeleitet werden soll. Sie können diese URL kopieren und in die Umleitungs-URL der ServiceNow-Registrierung einfügen. Weitere Informationen finden Sie unter Konfigurieren Sie die Anwendungsregistrierung in der ServiceNow-Instanz
      Optionales Proxy-Setup  
      Proxy-URL Proxy-URL für Ihre Splunk Enterprise Security sekundäre Konsole oder Splunk Cloud sekundäre Instanz.
      Port Adresse des Ports.
      Benutzername Benutzername, den Sie für das Proxy-Konto in der sekundären Konsole Splunk Enterprise Security erstellt haben.
      Passwort Passwort, das Sie für das Proxy-Konto in der sekundären Konsole Splunk Enterprise Security erstellt haben.
      Passwort bestätigen Geben Sie das Passwort ein, um es zu bestätigen.

      ServiceNow Event Ingestion Integration auf Splunk einrichten

    10. Wahlweise: Wählen Sie die Registerkarte Splunk sekundär aus.
    11. Wahlweise: Füllen Sie die Felder des Formulars aus.
      FeldBeschreibung
      Bezeichnung der Workflow-Aktion

      Name der sekundären Konsole [ Splunk Enterprise Security oder der sekundären Instanz Splunk Cloud, die für die Integration verwendet wird.

      Leerzeichen werden für Namen unterstützt, Klammern jedoch nicht. Geben Sie beispielsweise SplunkES2ein.
      URL URL für die sekundäre Konsole [ Splunk Enterprise Security oder die sekundäre Instanz Splunk Cloud. Die URL muss den API-Port enthalten, z. B.: https://mysplunkserver.com:8089
      Endpunkt Endpunkt für die sekundäre Konsole [ Splunk Enterprise Security oder die sekundäre Instanz Splunk Cloud.
      Authentifizierungstyp Option zum Auswählen des Authentifizierungstyps. Sie können Standardauthentifizierung oder OAuth 2.0-Authentifizierungauswählen.
      • Wenn Sie für die Konfiguration den API- Kontobenutzernamenund das API-Passwort verwenden, aktivieren Sie das Kontrollkästchen Standardauthentifizierung.

        Standardmäßig deaktiviert.

      • Wenn Sie die OAuth 2.0-Authentifizierung für die Konfiguration verwenden, aktivieren Sie das Kontrollkästchen OAuth 2.0-Authentifizierung.

        Standardmäßig deaktiviert.
      Standardauthentifizierung  
      Benutzername Benutzername, den Sie für Ihr API-Benutzerkonto in der Konsole Splunk Enterprise Security erstellt haben.
      Passwort Passwort, das Sie für Ihr API-Benutzerkonto in der Konsole Splunk Enterprise Security erstellt haben
      Passwort bestätigen Geben Sie das Passwort ein, um es zu bestätigen.
      OAuth 2.0-Authentifizierung  
      Client-ID Client-ID der auf dem ServiceNow-Server erstellten App.
      Geheimer Clientschlüssel Geheimer Clientschlüssel der auf dem ServiceNow-Server erstellten App.
      Umleitungs-URL Die URL, an die umgeleitet werden soll. Sie können diese URL kopieren und in die Umleitungs-URL der ServiceNow-Registrierung einfügen.
      Optionales Proxy-Setup  
      Proxy-URL Proxy-URL für Ihre Splunk Enterprise Security sekundäre Konsole oder Splunk Cloud sekundäre Instanz.
      Port Adresse des Ports.
      Benutzername Benutzername, den Sie für das Proxy-Konto in der sekundären Konsole Splunk Enterprise Security erstellt haben.
      Passwort Passwort, das Sie für das Proxy-Konto in der sekundären Konsole Splunk Enterprise Security erstellt haben.
      Passwort bestätigen Geben Sie das Passwort ein, um es zu bestätigen.
    12. Wählen Sie die Registerkarte Protokollebene aus.
    13. Füllen Sie die Felder des Formulars aus.
      FeldBeschreibung
      Protokollebene Die Ebene der von der Integration generierten Berichtsprotokolle, d. h. der Name des Informationstyps. Sie können den Wert auch auf die folgenden Optionen aktualisieren:
      • Info
      • Fehler
      • warnen
      • debuggen

      Standardmäßig ist der Wert info.
    14. Klicken Sie auf Speichern.
      Nach erfolgreicher Validierung wird die Seite „Sicherheitsintegrationen“ mit jeder Ihrer Konfigurationen angezeigt. Auf jeder gültigen Konfigurationskachel werden die Schaltflächen Aktualisieren und Löschen angezeigt (siehe folgende Abbildung).
      Hinweis:
      Sie müssen entweder die Standardauthentifizierung oder nur die OAuth 2.0-Authentifizierung verwenden. Aktivieren Sie eine der Authentifizierungen, und geben Sie die entsprechenden Authentifizierungsdetails ein. Wenn Sie beides aktivieren, wird ein Fehler angezeigt.

      Nach erfolgreicher Validierung und Übermittlung wird jede Serverkonfiguration für Event-Erfassungen Splunk auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln nicht auf der Seite „Sicherheitsintegrationen“ angezeigt werden, klicken Sie in der oberen rechten Ecke der Seite in der Liste „Konfigurationen anzeigen“ auf Ja.