Richten Sie die Instanz ein, in der Incidents oder Ereignisse erstellt werden, oder ändern Sie sie

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 5 Minuten Lesedauer

    • Um die Instanz ServiceNow, in der neue Security Incidents und Sicherheits-Ereignisse erstellt werden, einzurichten oder zu ändern, verwenden Sie die Aktion Setup in der Anwendungsliste.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Öffnen Sie Splunk.
    2. Klicken Sie entweder auf das Apps -Zahnradsymbol oder auf das Kontextmenüelement Apps verwalten.
    3. Suchen Sie in der Liste der Anwendungen mit dem Filter nach ServiceNow -Apps.
    4. Suchen Sie nach ServiceNow Security Operations Integration, und klicken Sie auf die entsprechende Aktion Einrichten.
    5. Füllen Sie die Felder des Formulars aus.
      FeldBeschreibung
      Geben Sie ServiceNow Server an  
      URL URL für Ihre Splunk Enterprise Security -Konsole oder Splunk Cloud -Instanz. Die URL muss den API-Port enthalten, z. B.: https://mysplunkserver.com:8089
      Authentifizierungstyp Option zum Auswählen des Authentifizierungstyps. Sie können Standardauthentifizierung oder OAuth 2.0-Authentifizierungauswählen.
      • Wenn Sie den API- Kontoanwendernamenund das API-Passwort für die Konfiguration verwenden, aktivieren Sie das Kontrollkästchen Standardauthentifizierung.

        Standardmäßig ist deaktiviert.

      • Wenn Sie die OAuth 2.0-Authentifizierung für die Konfiguration verwenden, aktivieren Sie das Kontrollkästchen OAuth 2.0-Authentifizierung.

        Standardmäßig ist deaktiviert.
      Standardauthentifizierung  
      Anwendername Anwendername, den Sie für Ihr API-Anwenderaccount in der Splunk Enterprise Security -Konsole erstellt haben.
      Passwort Passwort, das Sie für Ihr API-Benutzerkonto in der Splunk Enterprise Security -Konsole erstellt haben.
      Passwort bestätigen Geben Sie das Passwort ein, um es zu bestätigen.
      OAuth 2.0-Authentifizierung  
      Client-ID Client-ID der auf dem ServiceNow-Server erstellten App.
      Geheimer Clientschlüssel Geheimer Clientschlüssel der auf dem ServiceNow-Server erstellten App.
      Umleitungs-URL Die URL für die Weiterleitung. Sie können diese URL kopieren und in die Umleitungs-URL für die ServiceNow-Registrierung einfügen.
      Optionaler Proxy  
      Proxy-URL Proxy-URL für Ihre Splunk Enterprise Security -Konsole oder Splunk Cloud -Instanz.
      Port Adresse des Ports.
      Anwendername Anwendername, den Sie für den Proxy-Account in der Konsole Splunk Enterprise Security erstellt haben.
      Passwort Passwort, das Sie für den Proxy-Account in der Konsole Splunk Enterprise Security erstellt haben.
      Passwort bestätigen Geben Sie das Passwort ein, um es zu bestätigen.
      Setup der Protokollierungsebene  
      Protokollierungsebene Die Ebene der von der Integration generierten Berichterstellungsprotokolle, d. h. den Namen des Informationstyps. Sie können den Wert auch auf die folgenden Optionen aktualisieren:
      • Info
      • Fehler
      • warnen
      • debuggen

      Standardmäßig lautet der Wert „info“.
      API-Auswahl  
      API-Auswahl Wählen Sie eine der folgenden APIs aus:
      • Tabellen-API
      • Importsatz-API

      ServiceNow Security Operations Integration auf Splunk einrichten

    6. Klicken Sie auf Speichern.
    7. Alternativ können Sie nach ServiceNow Event Ingestion Integrationsuchen und auf die entsprechende Aktion Einrichten klicken.
      Die ServiceNow Event Ingestion Integration ist auf drei verschiedene Registerkarten aufgeteilt.
      • Splunk Primary: Die standardmäßige oder primäre Splunk-Konfiguration.
      • Splunk sekundär: (Optional) Die Sicherungs- oder zweite Splunk-Konfiguration.
      • Protokollierungsebene: Die Ebene der von der Integration generierten Berichtsprotokolle, d. h. den Namen des Informationstyps.
    8. Wählen Sie die Registerkarte Splunk Primary aus.
    9. Füllen Sie die Felder des Formulars aus.
      FeldBeschreibung
      Workflow-Aktionsbezeichnung

      Name der primären Konsole [ Splunk Enterprise Security oder der primären Instanz Splunk Cloud, die für die Integration verwendet wird.

      Leerzeichen werden für Namen unterstützt, Klammern jedoch nicht. Geben Sie beispielsweise SplunkES2ein.
      URL URL für Ihre primäre Splunk Enterprise Security -Konsole oder die primäre Splunk Cloud -Instanz. Die URL muss den API-Port enthalten, z. B.: https://mysplunkserver.com:8089
      Endpunkt Endpunkt für Ihre primäre Konsole [ Splunk Enterprise Security oder die primäre Instanz von Splunk Cloud.
      Authentifizierungstyp Option zum Auswählen des Authentifizierungstyps. Sie können Standardauthentifizierung oder OAuth 2.0-Authentifizierungauswählen.
      • Wenn Sie den API- Kontoanwendernamenund das API-Passwort für die Konfiguration verwenden, aktivieren Sie das Kontrollkästchen Standardauthentifizierung.

        Standardmäßig ist deaktiviert.

      • Wenn Sie die OAuth 2.0-Authentifizierung für die Konfiguration verwenden, aktivieren Sie das Kontrollkästchen OAuth 2.0-Authentifizierung.

        Standardmäßig ist deaktiviert.
      Standardauthentifizierung  
      Anwendername Anwendername, den Sie für Ihr API-Anwenderaccount in der Splunk Enterprise Security -Konsole erstellt haben.
      Passwort Passwort, das Sie für Ihr API-Benutzerkonto in der Splunk Enterprise Security -Konsole erstellt haben.
      Passwort bestätigen Geben Sie das Passwort ein, um es zu bestätigen.
      OAuth 2.0-Authentifizierung  
      Client-ID Client-ID der auf dem ServiceNow-Server erstellten App. Informationen zum Abrufen der Client-ID finden Sie unter Konfigurieren Sie die Anwendungsregistrierung in der ServiceNow-Instanz
      Geheimer Clientschlüssel Geheimer Clientschlüssel der auf dem Server erstellten App. Informationen zum Abrufen des geheimen Clientschlüssels finden Sie unter Konfigurieren Sie die Anwendungsregistrierung in der ServiceNow-Instanz
      Umleitungs-URL Die URL für die Weiterleitung. Sie können diese URL kopieren und in die Umleitungs-URL für die ServiceNow-Registrierung einfügen. Weitere Informationen finden Sie unter Konfigurieren Sie die Anwendungsregistrierung in der ServiceNow-Instanz
      Optionales Proxy-Setup  
      Proxy-URL Proxy-URL für die sekundäre Konsole Splunk CloudSplunk Enterprise Security oder die sekundäre Instanz [].
      Port Adresse des Ports.
      Anwendername Anwendername, den Sie für den Proxy-Account auf der sekundären Konsole Splunk Enterprise Security erstellt haben.
      Passwort Passwort, das Sie für den Proxy-Account auf der sekundären Konsole Splunk Enterprise Security erstellt haben.
      Passwort bestätigen Geben Sie das Passwort ein, um es zu bestätigen.

      ServiceNow Event Ingestion Integration auf Splunk einrichten

    10. Wahlweise: Wählen Sie die Registerkarte Splunk Sekundär aus.
    11. Wahlweise: Füllen Sie die Felder des Formulars aus.
      FeldBeschreibung
      Workflow-Aktionsbezeichnung

      Name der Splunk Enterprise Security sekundären Konsole oder der Splunk Cloud sekundären Instanz, die für die Integration verwendet wird.

      Leerzeichen werden für Namen unterstützt, Klammern jedoch nicht. Geben Sie beispielsweise SplunkES2ein.
      URL URL für die sekundäre Konsole von [ Splunk Enterprise Security oder die sekundäre Instanz von Splunk Cloud. Die URL muss den API-Port enthalten, z. B.: https://mysplunkserver.com:8089
      Endpunkt Endpunkt für Ihre sekundäre Splunk Enterprise Security -Konsole oder sekundäre Splunk Cloud -Instanz.
      Authentifizierungstyp Option zum Auswählen des Authentifizierungstyps. Sie können Standardauthentifizierung oder OAuth 2.0-Authentifizierungauswählen.
      • Wenn Sie den API- Kontoanwendernamenund das API-Passwort für die Konfiguration verwenden, aktivieren Sie das Kontrollkästchen Standardauthentifizierung.

        Standardmäßig ist deaktiviert.

      • Wenn Sie die OAuth 2.0-Authentifizierung für die Konfiguration verwenden, aktivieren Sie das Kontrollkästchen OAuth 2.0-Authentifizierung.

        Standardmäßig ist deaktiviert.
      Standardauthentifizierung  
      Anwendername Anwendername, den Sie für Ihr API-Anwenderaccount in der Splunk Enterprise Security -Konsole erstellt haben.
      Passwort Passwort, das Sie für Ihr API-Benutzerkonto in der Splunk Enterprise Security -Konsole erstellt haben.
      Passwort bestätigen Geben Sie das Passwort ein, um es zu bestätigen.
      OAuth 2.0-Authentifizierung  
      Client-ID Client-ID der auf dem ServiceNow-Server erstellten App.
      Geheimer Clientschlüssel Geheimer Clientschlüssel der auf dem ServiceNow-Server erstellten App.
      Umleitungs-URL Die URL für die Weiterleitung. Sie können diese URL kopieren und in die Umleitungs-URL für die ServiceNow-Registrierung einfügen.
      Optionales Proxy-Setup  
      Proxy-URL Proxy-URL für die sekundäre Konsole Splunk CloudSplunk Enterprise Security oder die sekundäre Instanz [].
      Port Adresse des Ports.
      Anwendername Anwendername, den Sie für den Proxy-Account auf der sekundären Konsole Splunk Enterprise Security erstellt haben.
      Passwort Passwort, das Sie für den Proxy-Account auf der sekundären Konsole Splunk Enterprise Security erstellt haben.
      Passwort bestätigen Geben Sie das Passwort ein, um es zu bestätigen.
    12. Wählen Sie die Registerkarte Protokollierungsebene aus.
    13. Füllen Sie die Felder des Formulars aus.
      FeldBeschreibung
      Protokollebene Die Ebene der von der Integration generierten Berichterstellungsprotokolle, d. h. den Namen des Informationstyps. Sie können den Wert auch auf die folgenden Optionen aktualisieren:
      • Info
      • Fehler
      • warnen
      • debuggen

      Standardmäßig lautet der Wert „info“.
    14. Klicken Sie auf Speichern.
      Nach erfolgreich abgeschlossener Validierung wird die Seite „Security Integrations“ (Sicherheitsintegrationen) mit jeder Ihrer Konfigurationen angezeigt. Auf jeder gültigen Konfigurationskachel werden die Schaltflächen Aktualisieren und Löschen angezeigt (siehe folgende Abbildung).
      Hinweis:
      Sie müssen entweder nur die Standardauthentifizierung oder die OAuth 2.0-Authentifizierung verwenden. Aktivieren Sie eine der Authentifizierungen, und geben Sie die entsprechenden Authentifizierungsdetails ein. Wenn Sie beide aktivieren, wird ein Fehler angezeigt.

      Nach erfolgreicher Validierung und Übermittlung wird jede Serverkonfiguration für Ereigniserfassungen Splunk auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln nicht auf der Seite „Sicherheitsintegrationen“ angezeigt werden, klicken Sie in der oberen rechten Ecke der Seite in der Liste Konfigurationen anzeigen auf Ja.