Richten Sie Ihre Splunk -Umgebung für die manuelle Ereigniserfassung für die Splunk Enterprise -Ereigniserfassungsintegration ein

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 6 Minuten Lesedauer

    • Wenn Sie Ereignisse für diese Integration manuell und bei Bedarf von Ihrer Splunk Enterprise -Konsole exportieren möchten, installieren und richten Sie die Anwendung ServiceNow Security Operations Event Ingestion Add-on für Splunk Enterprise in Ihrer Splunk -Unternehmenskonsole oder in der Splunk-Cloud-Instanz ein.

    Vorbereitungen

    Stellen Sie sicher, dass Sie die Anwendung für diese Integration von ServiceNow Store installiert haben, bevor Sie das Add-on-Plugin von splunkbase installieren, das für die manuelle Ereigniserfassung erforderlich ist. Wenn Sie die Anwendung für die -Integration aus ServiceNow Storenicht installiert haben, rufen Sie Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration Splunk Enterprise Event Ingestion . auf und befolgen Sie die Anweisungen zur Installation.

    Erforderliche Rolle: Now Platform Administrator (admin)

    Warum und wann dieser Vorgang ausgeführt wird

    Die Installation und Einrichtung des ServiceNow Security Operations Event Ingestion Add-ons ist optional.

    Wenn Sie Ereignisse für die Integration manuell und bei Bedarf von Ihrer Konsole Splunk Enterprise exportieren möchten, laden Sie das Add-on ServiceNow „ Security Operations Event Ingestion“ für Splunk Enterprise aus splunkbase in Ihrer Konsole Splunk Enterprise herunter, installieren und richten Sie es ein.

    Dieses Erweiterungs-Add-on ServiceNow ist erforderlich, damit Security Incidents aus manuell exportierten Ereignissen in Ihrer Instanz Now Platform erstellt werden können. Dieses ServiceNow Security Operations Event Ingestion Add-on für die Anwendung Splunk Enterprise ist auf splunkbaseverfügbar.

    Für die manuelle Ereignisweiterleitung können Sie bis zu zwei verschiedene Now Platform -Endpunkte (Instanzen) in Ihrer Splunk Enterprise -Konsole identifizieren. Sie leiten die Ereignisse manuell an den Endpunkt oder die Endpunkte weiter, um Security Incidents zu erstellen. Sie können beispielsweise eine Staging-Instanz (Entwicklungsinstanz) und eine Produktionsinstanz angeben. Durch Angabe separater Instanzen und Benennung primärer und sekundärer Workflows für jede Instanz können Sie auswählen, wohin Sie verschiedene Ereignisse weiterleiten möchten.

    Prozedur

    1. Wenn Sie das ServiceNow Security Operations Event Ingestion Add-on für Splunk Enterprisenoch nicht installiert haben, führen Sie die folgenden Schritte aus, um es zu installieren und zu konfigurieren.
      1. Navigieren Sie zu splunkbase.
      2. Suchen Sie nach dem ServiceNow Security Operations Security Operations Event Ingestion Add-on für Splunk Enterprise.
        Hinweis:
        Stellen Sie sicher, dass Sie ServiceNow Security Operations Add-on zur Ereigniserfassung für Splunk Enterpriseausgewählt haben. Es gibt zusätzliche ServiceNow Add-ons, die in dieser Liste angezeigt werden. Diese Add-ons gelten für verschiedene ServiceNow Splunk -Integrationen und sind für diese Integration nicht erforderlich.
      3. Laden Sie die Anwendung herunter.
      4. Öffnen Sie Ihr Splunk Enterprise -Konto.
      5. Klicken Sie auf der Seite „Apps“ auf das Zahnradsymbol oder auf die Verknüpfung Apps verwalten in der Dropdown-Liste des Menüs.
      6. Klicken Sie oben links auf der angezeigten Seite „Apps“ auf App aus Datei installieren.
      7. Klicken Sie auf Dateiauswählen, wählen Sie ServiceNow Security Operations Event Ingestion Add-on für Splunk Enterpriseaus, und klicken Sie auf Hochladen.
      8. Starten Sie Splunk Enterpriseneu, wenn Sie dazu aufgefordert werden.
        Das ServiceNow Security Operations Event Ingestion Add-on für Splunk Enterprise wird in Ihrer Splunk Enterprise Enterprise-Konsole installiert. Der nächste Schritt zum Einrichten des Add-ons.
    2. Führen Sie die folgenden Schritte aus, um das -Add-on einzurichten.
      1. Klicken Sie in Splunk Enterpriseauf das Zahnradsymbol Apps, oder klicken Sie in der Dropdown-Liste des Menüs auf Apps verwalten.
      2. Klicken Sie in der Liste der Anwendungen, die angezeigt wird, in der Spalte Aktionenauf Für ServiceNow Security Operations Add-on zur Ereigniserfassung für Splunk Enterprise] einrichten.
      3. Füllen Sie das Formular aus.
        Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes -Formular in Ihrer -Konsole Splunk Enterprise.
        Ausgefülltes Formular mit Konfigurationseinstellungen für primäre und sekundäre ServiceNow-Instanzen
      Feld im Abschnitt „Primäre ServiceNow-Instanz angeben“.Beschreibung
      Workflow-Aktionsbezeichnung Name des Now Platform -Workflows für Ihre (primäre) Produktionsinstanz. Dieser Name ist der Name einer Instanz Now Platform, die von Ihren Anwendern, die Splunk -Ereignisse überwachen, als primäre Instanz identifiziert wird, z. B. ServiceNow Event Ingestion (Produktion).

      Der Standardwert für dieses Feld ist „ServiceNow Event Ingestion (Produktion)“.

      In Ihrer Splunk Enterprise -Konsole wird dieser Workflow-Name für die Produktionsinstanz (primär) in der erweiterten Dropdown-Liste Ereignisaktionen einer Suche angezeigt. Dieser Name ist der Name Ihrer Produktionsinstanz. Sie können den Namen bearbeiten.
      URL Die URL für die Instanz Now Platform, die Sie im vorangegangenen Feld für die Workflow-Aktionsbezeichnung eingegeben haben.

      Kopieren Sie die URL in Ihren Browser, und fügen Sie sie in dieses Feld im Formular ein.
      Endpunkt API-Basispfad. Weitere Informationen finden Sie in der Abbildung unter der Tabelle.

      Wenn Sie keinen Wert für den Endpunkt Ihrer Produktionsinstanz Now Platform haben, führen Sie die folgenden Schritte aus.

      1. Melden Sie sich bei Ihrer Produktionsinstanz Now Platform als Benutzer mit der Rolle „Systemadministrator“ (admin) an.
      2. Geben Sie im Navigationsbereich Geskriptete REST APIs ein.
      3. Wählen Sie nach der Aktualisierung des Navigationsbereichs das angezeigte Modul Scripted REST APIs (Geskriptete REST-APIs) aus.
      4. Wenn Ereigniserfassung in der Spalte Name der angezeigten Liste Geskripteter REST APIs nicht aufgeführt ist, geben Sie im Suchfeld oben den Wert Ereigniserfassungein.
      5. Kopieren Sie diesen Wert in der Spalte Base API path auf der aktualisierten Seite, und fügen Sie ihn in das Feld Endpunkt im Formular ein. Ein Beispiel für den API-Basispfad ist /api/sn_sec_splunk_v2/event_ingestion.
      Anwendername Benutzername für Ihre Instanz Now Platform. Dies ist der Name des Anwendernamens für die Instanz Now Platform, in der Sie einen Anwender mit der Rolle (sn_sec_splunk_v2.api_account_access) für die manuelle Ereignisweiterleitung zugewiesen haben.

      Weitere Informationen zum Zuweisen dieser Rolle finden Sie unter Richten Sie Ihre Instanz Now Platform für die Integration Splunk Enterprise Event Ingestion ein.
      Passwort Passwort für Ihre Instanz Now Platform.

      Dieses Passwort ist das Passwort für die Instanz Now Platform, in der Sie einen Benutzer mit der Rolle (sn_sec_splunk_v2.api_account_access) für die manuelle Ereignisweiterleitung zugewiesen haben.
      (Optional) Felder im Abschnitt „Sekundäre ServiceNow-Instanz angeben“. Beschreibung

      Diese Felder sind optional. Sie müssen keine sekundäre Instanz angeben.
      Workflow-Aktionsbezeichnung Name des Now Platform -Workflows für Ihre sekundäre Instanz (Bereitstellungsinstanz). Dieser Name ist der Name einer Instanz Now Platform, die von Ihren Benutzern, die Splunk -Ereignisse überwachen, als sekundäre Instanz identifiziert wird, z. B. ServiceNow Ereigniserfassung (Bereitstellung).

      In Ihrer Splunk Enterprise -Konsole wird dieser Workflow-Name für die Bereitstellungsinstanz (sekundär) in der erweiterten Dropdown-Liste Ereignisaktionen einer Suche angezeigt. Diese Now Platform -Instanz ist Ihre Bereitstellungsinstanz. Sie können den Namen bearbeiten.
      URL Die URL für die Instanz Now Platform, die Sie im vorhergehenden Bezeichnungsfeld Workflow-Aktion für die sekundäre Instanz Now Platform ] eingegeben haben.

      Kopieren Sie die URL in Ihren Browser, und fügen Sie sie in dieses Feld im Formular ein.
      Endpunkt API-Basispfad. Dieser Wert für den API-Basispfad für Ihre sekundäre Instanz entspricht dem API-Basispfad für Ihre primäre Instanz. Weitere Informationen finden Sie in der vorherigen Abbildung des Formulars.
      Anwendername Anwendername für Ihre Bereitstellungsinstanz Now Platform. Dazu benötigen Benutzer die Rolle (sn_sec_splunk_v2.api_account_access).
      Passwort Passwort für Ihre Bereitstellungsinstanz Now Platform. Dazu benötigen Benutzer die Rolle (sn_sec_splunk_v2.api_account_access).
      Die folgende Abbildung zeigt ein Beispiel für die Liste der geskripteten REST APIs in Ihrem Now Platform. In der Liste wird die Position des Endpunktwerts einer Now Platform -Instanz angezeigt, die Sie im Rahmen der Einrichtung des ServiceNow Security Operations Event Ingestion Add-on für Splunk Enterprise in Ihrer Splunk Enterprise -Konsole in das Formular eingeben.
      Abbildung : 1. Liste der geskripteten REST APIs in Now Platform
      API-Basispfad hervorgehoben.
    3. Klicken Sie im Setup-Formular in der Konsole Splunk Enterprise auf Speichern, um Ihre Änderungen zu speichern.

      Nach einigen Minuten wird oben links im Formular in der Splunk Enterprise -Konsole eine Meldung angezeigt, dass der Datensatz erfolgreich aktualisiert wurde.

      Nachdem Sie das Formular gespeichert haben, sind die Namen (Workflow-Aktionsbezeichnungen) für die von Ihnen im Formular erstellten Instanzen Now Platform in der Auswahlliste Ereignisaktionen für ein ausgewähltes Ereignis einer Suche in Ihrer Konsole Splunk Enterprise verfügbar.

    Nächste Maßnahme

    Wenn Sie Suchen noch nicht in der Konsole Splunk Enterprise gespeichert haben, besteht der nächste Schritt darin, Suchen als Warnungen in der Konsole Splunk Enterprise zu speichern.