Installieren und konfigurieren Sie ServiceNowAnwendung für Splunk Enterprise SecurityIntegration der Erfassung bedeutender Ereignisse

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer
  • Bevor Sie die Integration auf ausführen Now Platform®Führen Sie diese Installations- und Konfigurationsschritte aus, damit die Anwendung ordnungsgemäß in integriert wird Security Incident ResponseUnd Security OperationsProdukte auf Ihrem Now Platform®Instanz.

    Vorbereitungen

    Erforderliche Rolle: ess_Analyst

    Weisen Sie in Splunk es eine Anwenderrolle „Sicherheitsanalyst“ (ess_Analyst) zu, um alle integrationsbezogenen Aktivitäten auf dem Splunk-Server auszuführen.

    Prozedur

    1. Wenn Sie nicht installiert haben Splunk Enterprise SecurityEreigniserfassungsanwendung aus ServiceNow StoreInformationen zur Integration finden Sie unter Installieren Sie ein Security OperationsIntegrationUnd befolgen Sie die Schritte, um es zu installieren.
    2. Nachdem Sie die Anwendung erfolgreich installiert haben, navigieren Sie zu Integrationen > Integrationskonfigurationen Und suchen Sie SplunkKachel „Ereigniserfassungen“.
    3. Klicken Sie auf, um die Anwendung zu konfigurieren Neu .

      Kachel „SplunkEvent-Erfassungen“
    4. Alternativ, wenn ein Konfigurieren Die Schaltfläche wird auf einer Kachel angezeigt. Klicken Sie darauf, um eine vorhandene Konfiguration zu bearbeiten.
    5. Füllen Sie im angezeigten Dialogfeld „Konfiguration von Ereigniserfassungen“ die Felder aus.
      FeldBeschreibung
      Name Name von Splunk Enterprise SecurityKonsole oder Splunk CloudFür die Integration verwendete Instanz.

      Leerzeichen werden für Namen unterstützt, Klammern werden jedoch nicht unterstützt. Geben Sie beispielsweise ein SplunkES2 .

      Basis-URL der Splunk-API URL für Ihren Splunk Enterprise SecurityKonsole oder Splunk CloudInstanz. Die URL sollte den API-Port enthalten, z. B.: https://mysplunkserver.com:8089
      Standardauthentifizierung Standard ist deaktiviert.

      Wenn Sie API-Account-Anwendername und API-Passwort für die Konfiguration verwenden, aktivieren Sie das Kontrollkästchen.

      API-Account-Anwendername Anwendername, den Sie für Ihren API-Anwenderaccount auf erstellt haben Splunk Enterprise SecurityKonsole.
      API-Passwort Passwort, das Sie für Ihren API-Anwenderaccount auf erstellt haben Splunk Enterprise SecurityKonsole.
      Token-basiert (verfügbar ab Version 12.0,0) Token, das Sie für Ihren API-Anwenderaccount in der Splunk Enterprise-Sicherheitskonsole erstellt haben.
      Token Token, das Sie für Ihren API-Anwenderaccount auf erstellt haben SplunkUnternehmenssicherheitskonsole.
      Lokale Bereitstellung Standard ist deaktiviert.

      Wenn Sie eine lokale Version von verwenden Splunk Enterprise Security, Stellen Sie sicher, dass dieses Kontrollkästchen aktiviert ist.

      MID-Server Option zum Auswählen eines bestimmten MID-Servers, der in Ihrer Umgebung eingerichtet werden soll, der von dieser Integration verwendet wird, um bedeutende Ereignisse abzurufen ServiceNow.
      Sie können einen bestimmten MID-Server aus der Liste auswählen oder auswählen Beliebig Um die automatische Auswahl eines gültigen MID-Servers aus der Liste für diese Integration zu aktivieren.
      Hinweis:
      • Der während dieser Konfigurationszeit ausgewählte MID-Server gilt für die gesamte Integration.
      • In dieser Liste werden nur aktive und validierte MID-Server angezeigt. Standardmäßig ist der Wert auf festgelegt Beliebig .

      Beispielsweise gibt es drei MID-Server A, B und C. wenn Sie auswählen Beliebig , Dann wird einer dieser MID-Server automatisch ausgewählt und gilt für die gesamte Integration. Wenn Sie einen bestimmten MID-Server auswählen, sagen Sie C, dann gilt der ausgewählte MID-Server C für die gesamte Integration.

      Wenn Sie den MID-Server ändern möchten, müssen Sie ihn über die Kachel „App-Konfiguration“ neu konfigurieren.

      Die folgende Abbildung ist ein Beispiel für ein ausgefülltes Formular für eine Konfiguration einer lokalen Version von Splunk Enterprise SecurityMit einem MID-Server.
      Splunk-Ereigniserfassung

      Jeweils Splunk Enterprise SecurityBedeutender Ereignistyp, den Sie von erfassen Splunk Enterprise SecurityDie Incident-Überprüfungskonsole erfordert ein eindeutiges Ereignisprofil in Ihrem Now Platform®Instanz. Die Quelle, die Sie im Formular „Konfiguration von Ereigniserfassungen“ konfigurieren, kann jedoch für mehrere wiederverwendet werden Now Platform®Profile, solange jedes Profil eindeutige bedeutende Ereignistypen erfasst.

    6. Klicken Sie auf Absenden.
      Nachdem die Validierung erfolgreich abgeschlossen wurde, wird die Seite „Sicherheitsintegrationen“ mit jeder Ihrer Konfigurationen angezeigt. Auf jeder gültigen Konfigurationskachel Aktualisieren Und Löschen Schaltflächen werden wie in der folgenden Abbildung angezeigt.
      Hinweis:
      Anwender müssen entweder die Standardauthentifizierung oder die Token-basierte Authentifizierung verwenden. Wenn Sie beide aktivieren, wird der folgende Fehler ausgegeben.
      Konfiguration Der Splunk-Ereigniserfassung
      Hinweis:
      Wenn Anwender die vorhandenen Konfigurationskacheln auf tokenbasiert aktualisieren möchten, müssen sie diese Einstellung aktivieren, um vorhandene zu aktualisieren SplunkQuellkonfigurationen für die Einstellung zur Unterstützung der tokenbasierten Authentifizierung in SplunkModul „Unternehmenseinstellungen“.

      Schaltfläche „Aktualisieren/Löschen“

      Nachdem sie erfolgreich validiert und übermittelt wurde, werden jede Ereigniserfassung durchgeführt SplunkDie Serverkonfiguration wird auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln auf der Seite „Sicherheitsintegrationen“ nicht angezeigt werden, wählen Sie in der oberen rechten Ecke der Seite aus der Liste „Konfigurationen anzeigen“ die Option aus Ja .

    Nächste Maßnahme

    Sie haben die Anwendung erfolgreich installiert und konfiguriert. Der nächste Schritt besteht darin, ein Ereignisprofil zu erstellen.