Prüfliste für Splunk Enterprise Event IngestionIntegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Verwenden Sie diese Prüfliste, um Sie durch alle Aufgaben der Integration zu führen. Die folgende Prüfliste enthält Setup- und Installationsaufgaben sowie Beispiele für Anwendungsfälle, die die erwarteten Ergebnisse für die Integration enthalten.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Verfolgen Sie Ihren Fortschritt beim Setup, der Installation und der Konfiguration der Integration mit der folgenden Tabelle. Schließen Sie alle Aufgaben für einen Schritt ab, bevor Sie mit dem nächsten Schritt fortfahren. Jede Zeile der Tabelle listet Aufgaben auf und identifiziert die Rollen, die zum Ausführen der Aufgaben erforderlich sind. Nummerierte Themen des Installations- und Konfigurationsleitfadens werden ebenfalls referenziert.

    Erforderliche Rollen: Rollen werden für jeden Schritt unten aufgeführt.

    Prozedur

    1. Als Anwender mit Now Platformadministratorrolle, richten Sie Ihr ein Now PlatformInstanz.
      • Weisen Sie nach Bedarf Anwender mit den Rollen „sn_si.admin“ und „sn_si.Analyst“ zu.
      • Installieren und konfigurieren Sie einen MID-Server, wenn SplunkServer wird in Ihrem Unternehmensnetzwerk bereitgestellt.
      • Überprüfen Sie, ob ServiceNow Security Incident ResponsePlugins werden für Ihr Release von aktiviert Now Platform.
      • Wenn Sie Ereignisse manuell von weiterleiten möchten Splunk EnterpriseKonsole in Ihr Now PlatformInstanz: Stellen Sie sicher, dass Sie einem Anwender mit die Rolle (sn_sec_splunk_v2.api_account_access) zugewiesen haben Splunk Enterpriseenterprise-Administratorberechtigung.

      Weitere Informationen finden Sie unter Richten Sie Ihr ein Now PlatformInstanz für Splunk Enterprise Event IngestionIntegration.

      Sie haben die Einrichtungsschritte erfolgreich abgeschlossen und die erwarteten Ergebnisse für die Integration verifiziert.
    2. Als Anwender mit Now Platformadministratorrolle installieren und konfigurieren Splunk Enterprise Event IngestionAnwendung von ServiceNow Store.
      1. Laden Sie die Anwendung herunter, und installieren Sie sie auf Ihrem Now PlatformInstanz.
      2. Konfigurieren Sie die Anwendung, und stellen Sie eine Verbindung mit her Splunk EnterpriseKonsole.

      Weitere Informationen finden Sie unter Installieren und konfigurieren Sie ServiceNowAnwendung für Splunk Enterprise Event IngestionIntegration.

    3. Wahlweise: Wenn Sie Ereignisse manuell aus exportieren möchten Splunk EnterpriseKonsole zu Ihrem Now PlatformFühren Sie die folgenden Aufgaben aus:
      1. Als Splunk EnterpriseAdministrator, installieren, einrichten und aktivieren ServiceNowErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk EnterpriseVon Splunkbase in Ihrem Splunk EnterpriseKonsole.
      2. Als Splunk EnterpriseAdministrator: Wenn nicht bereits konfiguriert, speichern Sie Suchen als Warnungen in Ihrem Splunk EnterpriseKonsole.

        Weitere Informationen finden Sie unter Richten Sie Ihr ein SplunkUmgebung für die manuelle Ereigniserfassung für Splunk EnterpriseIntegration der Ereigniserfassung und Speichern Sie Suchen in Splunk EnterpriseKonsole für Splunk Enterprise Event IngestionIntegration.

    4. Als Anwender mit Now Platformsn_si.admin Rolle: Erstellen und benennen Sie ein Ereignisprofil.

      Wählen Sie den Profiltyp aus der Auswahlliste aus. Optionen sind ein geplantes Warnungsprofil, das Sie zum Erfassen von Beispieldaten verwenden, oder ein Ereignisprofil, das Sie zum manuellen Exportieren von Anhangsdaten aus verwenden Splunk EnterpriseKonsole.

      • Wählen Sie für eine geplante Warnung eine verfügbare Warnung aus.
      • Erstellen Sie für ein Profil für manuell exportierte Daten eine neue Zuordnung, oder kopieren Sie eine vorhandene Zuordnung.

      Weitere Informationen finden Sie unter Erstellen und benennen Sie ein Ereignisprofil für Splunk Enterprise Event IngestionIntegration.

    5. Als Anwender mit Now PlatformRolle „sn_si.admin“, „erfasste Werte zuordnen“ oder „Anhangsdaten“, die aus exportiert werden Splunk EnterpriseBis Now PlatformSecurity Incidents.
      1. Ruft Beispieldaten für eine geplante Warnung ab.
      2. Exportieren Sie Anhangsdaten manuell aus Splunk EnterpriseFür ein Ereignis.
      3. Bearbeiten Sie die Standardzuordnungskonfiguration.
      4. Fügen Sie optional Filterkriterien hinzu, fügen Sie eine Warnung an einen vorhandenen Security Incident an, und verwenden Sie den Skripteditor.

      Weitere Informationen finden Sie unter Zuordnung von Warnungen und Ereignissen für Splunk Enterprise Event IngestionIntegrationUnd Ordnen Sie Warnungen für zu Splunk Enterprise Event IngestionIntegration.

    6. Als Anwender mit Now Platformsn_si.admin-Rolle, zeigen Sie eine Vorschau der Daten von an Splunk EnterpriseDas auf angezeigt wird Now PlatformSecurity Incident.

      Beheben Sie Fehler, oder fügen Sie fehlende Daten hinzu, damit keine Fehlermeldungen angezeigt werden.

      Weitere Informationen finden Sie unter Vorschau des Security Incidents für anzeigen Splunk Enterprise Event IngestionIntegration.

    7. Als Anwender mit Now PlatformRolle „sn_si.admin“: Planen Sie den Warnungsabruf für ein Profil mit einer geplanten Warnung.

      Weitere Informationen finden Sie unter Planen und rufen Sie Warnungen für ab Splunk Enterprise Event IngestionIntegration.