Konfigurieren und aktivieren Sie die Splunk-Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Die Splunk-Anreicherungsintegration durchsucht Ihre Protokolle und fügt relevante Sichtungsinformationen hinzu.

    Vorbereitungen

    Bevor Sie die Splunk-Suche verwenden können, müssen Sie sie aus dem ServiceNow Store herunterladen.

    Erforderliche Rolle: sn_sec_tisc.admin

    • Das Plugin „Threat Intelligence-Sicherheitszentrum“ muss installiert und aktiviert werden, bevor Sie die Splunk-Suchintegration verwenden können.
    • Rufen Sie den Splunk ab, erhalten Sie die Splunk-Suche, und rufen Sie die API-Basis-URL, die Link-URL, den Anwendernamen und das Passwort von Ihrer Splunk-Instanz ab.

    Prozedur

    1. Greifen Sie mithilfe Ihrer Instanz auf zu Threat Intelligence-Sicherheitszentrum .
    2. Laden Sie die Integration von herunter ServiceNow Storean.
    3. Wenn die Installation abgeschlossen ist, navigieren Sie zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
    4. Auswählen Integrationen > Ergänzungsintegrationen > Alle Integrationenan.
    5. Alternativ können Sie zu navigieren Integrationen > Ergänzungsintegrationen > Alle Integrationen > Sichtungssuche
      Die konfigurierten Integrationen werden als Reihe von Karten angezeigt.
    6. In Splunk-Suche Karte, klicken Sie auf Konfigurieren Sie Eine Neue Anreicherung Zum Konfigurieren Splunk-Suche Integration.
    7. Füllen Sie die Felder im Formular „neue Anreicherung konfigurieren“ aus.
      Tabelle : 1. Ergänzungsintegration
      Feld Beschreibung
      Name Geben Sie einen Namen für die Konfiguration der Sichtungssuche ein.
      Lieferantenname Name des Lieferanten. Die Details des ausgewählten Lieferanten werden standardmäßig ausgefüllt. Beispiel: Splunk.
      Integrationstyp Typ der von Ihnen ausgewählten Integration. Beispiel: Bedrohungssuche.
      Beschreibung Geben Sie die Beschreibung für die Splunk-Integration ein. Beispielsweise hilft die Splunk-Ergänzungsintegration bei der Untersuchung eines erkennbaren Elements, indem sie die Abfrage von Protokollen in Ihrer Splunk-Bereitstellung in Bezug auf potenziell schädliche Indikatoren unterstützt.
      Integrationskonfiguration
      Basis-URL der Splunk-API Die Basis-URL, die Sie von der Splunk-Website erworben haben.
      Link-URL [Optional] die Link-URL, die mit der Splunk-Webschnittstelle verknüpft ist, falls verfügbar.
      Anwendername Ihr Anwendername für Intel Elasticsearch.
      Passwort Ihr Intel Elasticsearch-Passwort.
      Max. Zeilen Die maximale Anzahl von Zeilen, die Sie durchsuchen möchten.
      Erstes Ergebnis (Tage) Die frühesten Ergebnisse, die Sie in Tagen anzeigen möchten.
      Rohdatenmuster in Suchergebnissen berücksichtigen Wählen Sie diese Option aus, um Beispiele von Rohdaten in Ihre Sichtungssuchergebnisse einzubeziehen. Die Menge der zurückgegebenen Daten hängt von Ihrer Einstellung für die Anzahl der Zeilen der Rohdateneigenschaft in ab Eigenschaften der Reaktion auf Security Incidents .
      Lokale Bereitstellung Die lokal bereitgestellte Umgebung.
      MID-Server Wählen Sie beliebig aus, um einen aktiven MID-Server zu verwenden, oder wählen Sie einen bestimmten MID-Servernamen aus.
      Hinweis:
      Durch die Konfiguration dieser Integration werden Workflows aktiviert. Navigieren Sie zum Verwalten der Workflows zum Workflow-Editor.
    8. Klicken Sie auf Speichern.
      Die Integrationsdetails werden validiert, und standardmäßig ist der Status der Splunk-Integration deaktiviert.
    9. Klicken Sie Auf Aktivieren Zum Aktivieren der Splunk-Integration.

    Ergebnisse

    Nach der Konfiguration kann Splunk für die Durchführung einer Sichtungssuche für erkennbare Elemente im Threat Intelligence-Sicherheitszentrum ausgewählt werden.