Installieren und konfigurieren Sie ServiceNowAnwendung für Splunk Enterprise Event IngestionIntegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Bevor Sie die Integration auf ausführen Now Platform®Führen Sie diese Installations- und Konfigurationsschritte aus, damit die Anwendung ordnungsgemäß in integriert wird Security Incident ResponseUnd Security OperationsProdukte auf Ihrem Now Platform®Instanz.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Prozedur

    1. Wenn Sie nicht installiert haben Splunk Enterprise Event IngestionAnwendung von ServiceNow StoreInformationen zur Integration finden Sie unter Installieren Sie ein Security OperationsIntegrationUnd befolgen Sie die Schritte, um es zu installieren.
    2. Nachdem Sie die Anwendung erfolgreich installiert haben, navigieren Sie zu Integrationen > Integrationskonfigurationen Und suchen Sie SplunkKachel „Ereigniserfassungen“.
    3. Klicken Sie auf, um die Anwendung zu konfigurieren Neu .
      Splunk – neue Konfigurationskachel.
    4. Alternativ, wenn ein Konfigurieren Die Schaltfläche wird auf einer Kachel angezeigt. Klicken Sie darauf, um eine vorhandene Konfiguration zu bearbeiten.
    5. Füllen Sie im angezeigten Dialogfeld „Konfiguration von Ereigniserfassungen“ die Felder aus.
      FeldBeschreibung
      Name Name von Splunk EnterpriseKonsole oder Splunk CloudFür die Integration verwendete Instanz.

      Leerzeichen werden für Namen unterstützt, Klammern werden jedoch nicht unterstützt. Geben Sie beispielsweise ein HQ-USA , Oder HAUPTSITZ USA .
      Basis-URL der Splunk-API URL für Ihren Splunk EnterpriseKonsole oder Splunk CloudInstanz.
      Standardauthentifizierung Standard ist deaktiviert.

      Wenn Sie API-Account-Anwendername und API-Passwort für die Konfiguration verwenden, aktivieren Sie das Kontrollkästchen.
      API-Account-Anwendername Anwendername, den Sie für Ihren individuellen Anwenderaccount auf erstellt haben Splunk EnterpriseKonsole.
      API-Passwort Passwort, das Sie für Ihren individuellen Anwenderaccount auf erstellt haben Splunk EnterpriseKonsole.
      Token-basiert (verfügbar ab Version 12.0,0)

      Token-basierte Authentifizierung, die Sie für Ihren API-Anwenderaccount auf erstellt haben Splunk EnterpriseKonsole.
      Token Token, das Sie für Ihren API-Anwenderaccount auf erstellt haben Splunk EnterpriseKonsole.
      MID-Server Bestimmter MID-Server, der in Ihrer Umgebung eingerichtet ist. Nur aktive und validierte MID-Server sind in dieser Auswahlliste verfügbar.
      Lokale Bereitstellung Standard ist deaktiviert.

      Wenn Sie die cloudbasierte Version von verwenden Splunk Enterprise, Stellen Sie sicher, dass das Kontrollkästchen deaktiviert ist.

      Wenn diese Option aktiviert ist, wird die Auswahlliste für MID-Server angezeigt. Wenn Sie eine lokale Version von verwenden Splunk Enterprise, Führen Sie diese Schritte aus, um einen MID-Server auszuwählen.

      1. Aktivieren Sie das Kontrollkästchen.

        Eine Auswahlliste wird angezeigt. Standard ist Beliebig .

      2. Wählen Sie Aus Beliebig Nur, wenn dieser MID-Server für konfiguriert ist Splunk Enterprise Event IngestionIntegration.
      3. Wählen Sie in der Auswahlliste aus Now Platform®MID-Server, den Sie in Ihrer Instanz für diese spezifische Integration konfiguriert haben.

      Die folgende Abbildung ist ein Beispiel für ein ausgefülltes Formular für eine Konfiguration einer lokalen Version von Splunk EnterpriseMit einem MID-Server.

      Konfigurationsformular mit ausgefüllten Feldern.

      Jeweils Splunk EnterpriseWarnung, die Sie von erfassen Splunk EnterpriseDie Konsole erfordert ein eindeutiges Ereignisprofil in Ihrem Now Platform®Instanz. Die Quelle, die Sie im Formular „Konfiguration von Ereigniserfassungen“ konfigurieren, kann jedoch für mehrere wiederverwendet werden Now Platform®Profile, solange jedes Profil eindeutig erfasst wird SplunkAusgelöste Warnungen.

    6. Klicken Sie auf Absenden.
      Nachdem die Validierung erfolgreich abgeschlossen wurde, wird die Seite „Sicherheitsintegrationen“ mit jeder Ihrer Konfigurationen angezeigt. Auf jeder gültigen Konfigurationskachel Konfigurieren Und Löschen Schaltflächen werden wie in der folgenden Abbildung angezeigt.
      Hinweis:
      Sie müssen entweder nur die Standardauthentifizierung oder die tokenbasierte Authentifizierung verwenden. Aktivieren Sie eine der Authentifizierungen, und geben Sie die entsprechenden Authentifizierungsdetails ein. Wenn Sie beide aktivieren, wird ein Fehler angezeigt.

      Nachdem sie erfolgreich validiert und übermittelt wurde, werden jede Ereigniserfassung durchgeführt SplunkDie Serverkonfiguration wird auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln auf der Seite „Sicherheitsintegrationen“ nicht angezeigt werden, klicken Sie oben rechts auf der Seite in der Auswahlliste „Konfigurationen anzeigen“ auf Ja .

      Konfigurationsformular für Konfiguration der Splunk Enterprise-Ereigniserfassung.

    Wenn eine Fehlermeldung angezeigt wird, nachdem Sie auf geklickt haben Übermitteln Geben Sie Ihre Informationen erneut ein, und klicken Sie auf Übermitteln .

    Nächste Maßnahme

    Sie haben die Anwendung erfolgreich installiert und konfiguriert. Der nächste Schritt besteht darin, ein Ereignisprofil zu erstellen.