Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration Splunk Enterprise Security „ Notable Event Ingestion

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Bevor Sie die -Integration in Ihrer Instanz Now Platform® ausführen, führen Sie diese Installations- und Konfigurationsschritte aus, damit die Anwendung ordnungsgemäß in die -Produkte Security Incident Response und Security Operations in Ihrer Instanz Now Platform® integriert werden kann.

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Wenn Sie die Anwendung Splunk Enterprise Security Event Ingestion (Ereigniserfassung) aus ServiceNow Store für die Integration nicht installiert haben, rufen Sie auf und befolgen Sie die Schritte zur Installation.
    2. Nachdem Sie die Anwendung erfolgreich installiert haben, navigieren Sie zu Integrationen > Integrationskonfigurationen und suchen Sie die Kachel Splunk Ereigniserfassungen.
    3. Klicken Sie zum Konfigurieren der Anwendung auf Neu.

      Kachel „SplunkEvent Ingestions“.
    4. Alternativ: Wenn auf einer Kachel die Schaltfläche Konfigurieren angezeigt wird, können Sie darauf klicken, um eine vorhandene Konfiguration zu bearbeiten.
    5. Füllen Sie die Felder im angezeigten Dialogfeld „Konfiguration der Ereigniserfassung“ aus.
      FeldBeschreibung
      Name Name der Splunk Enterprise Security -Konsole oder Splunk Cloud -Instanz, die für die Integration verwendet wird.

      Leerzeichen werden für Namen unterstützt, Klammern jedoch nicht. Geben Sie beispielsweise SplunkES2ein.
      Basis-URL der Splunk-API URL für Ihre Splunk Enterprise Security -Konsole oder Splunk Cloud -Instanz. Die URL muss den API-Port enthalten, z. B.: https://mysplunkserver.com:8089
      Standardauthentifizierung Standardmäßig ist deaktiviert.

      Wenn Sie den API-Kontoanwendernamen und das API-Passwort für die Konfiguration verwenden, aktivieren Sie das Kontrollkästchen.
      API-Kontoanwendername Anwendername, den Sie für Ihr API-Anwenderaccount in der Splunk Enterprise Security -Konsole erstellt haben.
      API-Passwort Passwort, das Sie für Ihr API-Benutzerkonto in der Splunk Enterprise Security -Konsole erstellt haben.
      Tokenbasiert (verfügbar ab Version 12.0.0) Token, das Sie für Ihren API-Benutzeraccount in der Splunk Enterprise Security-Konsole erstellt haben.
      Token Token, das Sie für Ihren API-Benutzeraccount in der Enterprise Security-Konsole Splunk erstellt haben.
      Lokale Bereitstellung Standardmäßig ist deaktiviert.

      Wenn Sie eine lokale Version von Splunk Enterprise Securityverwenden, stellen Sie sicher, dass dieses Kontrollkästchen aktiviert ist.
      MID-Server Option zur Auswahl eines bestimmten MID-Servers zur Einrichtung in Ihrer Umgebung, der von dieser Integration verwendet wird, um wichtige Ereignisse in ServiceNowabzurufen .
      Sie können einen bestimmten MID-Server aus der Liste auswählen oder Beliebig auswählen, um die automatische Auswahl eines gültigen MID-Servers aus der Liste für diese Integration zu aktivieren.
      Hinweis:
      • Der während dieser Konfigurationszeit ausgewählte MID-Server gilt für die gesamte Integration.
      • In dieser Liste werden nur aktive und validierte MID-Server angezeigt. Standardmäßig ist der Wert auf Beliebigfestgelegt.

      Beispiel: Es gibt drei MID-Server A, B und C. Wenn Sie Beliebigauswählen, wird einer dieser MID-Server automatisch ausgewählt und gilt für die gesamte Integration. Wenn Sie einen bestimmten MID-Server auswählen, beispielsweise C, gilt der ausgewählte MID-Server C für die gesamte Integration.

      Wenn Sie den MID-Server ändern möchten, müssen Sie ihn über die Kachel „App-Konfiguration“ neu konfigurieren.
      Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular für die Konfiguration einer lokalen Version von Splunk Enterprise Security mit einem MID Server.
      Splunk Event Ingestion

      Jeder Splunk Enterprise Security wichtige Ereignistyp, den Sie über die Incident-Überprüfungskonsole Splunk Enterprise Security erfassen, erfordert ein eindeutiges Ereignisprofil in Ihrer Instanz Now Platform®. Die Quelle, die Sie im Formular „Konfigurationen für Ereigniserfassungen“ konfigurieren, kann jedoch für mehrere Now Platform® Profile wiederverwendet werden, solange jedes Profil eindeutige Typen von wichtigen Ereignissen erfasst.

    6. Klicken Sie auf Absenden.
      Nach erfolgreich abgeschlossener Validierung wird die Seite „Security Integrations“ (Sicherheitsintegrationen) mit jeder Ihrer Konfigurationen angezeigt. Auf jeder gültigen Konfigurationskachel werden die Schaltflächen Aktualisieren und Löschen angezeigt (siehe folgende Abbildung).
      Hinweis:
      Benutzer müssen entweder die Standardauthentifizierung oder die tokenbasierte Authentifizierung verwenden. Wenn Sie beide aktivieren, wird der folgende Fehler ausgegeben.
      Konfiguration der Splunk-Ereigniserfassung
      Hinweis:
      Wenn Benutzer es vorziehen, die vorhandenen Konfigurationskacheln auf tokenbasiert zu aktualisieren, müssen sie Aktivieren Sie diese Einstellung, um vorhandene Splunk Quellkonfigurationen für die Einstellung zur Unterstützung der tokenbasierten Authentifizierung im Modul Splunk Unternehmenseinstellungen zu aktualisieren.

      Schaltfläche „Aktualisieren/Löschen“.

      Nach erfolgreicher Validierung und Übermittlung wird jede Serverkonfiguration für Ereigniserfassungen Splunk auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln nicht auf der Seite „Sicherheitsintegrationen“ angezeigt werden, wählen Sie in der oberen rechten Ecke der Seite in der Liste Konfigurationen anzeigen die Option Jaaus.

    Nächste Maßnahme

    Sie haben die Anwendung erfolgreich installiert und konfiguriert. Der nächste Schritt besteht im Erstellen eines Ereignisprofils.