Kopieren Splunk Enterprise Security Profile von einer Instanz zu einer anderen mithilfe der Export-/Importfunktion

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Sie können exportieren und importieren Splunk Enterprise Security Profileinstellungen von einem ServiceNow AI Platform Instanz zu einer anderen ServiceNow AI Platform Instanz.

    Vorbereitungen

    Zu den Einstellungen, die Sie exportieren und importieren können, gehören Profilname, Korrelationsregeln, Zuordnungen, Filter, Zusammenfassungskriterien, Feldübersetzungen, abgerufene Beispieldaten, Zeitplanung und Konfigurationskachel-Quellinformationen.

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Warum und wann dieser Vorgang ausgeführt wird

    Mit dieser Funktionalität kann der Sicherheitsadministrator Profile kopieren, die für eines getestet und verifiziert wurden ServiceNow AI Platform Instanz, z. B. außerhalb der Produktion, an eine andere ServiceNow AI Platform Instanz, z. B. Produktion, ohne dass alle Konfigurationseinstellungen wiederholt werden müssen. Zu den Einstellungen, die exportiert und importiert werden, gehören Profilname, Korrelationsregeln, Zuordnungen, Filter, Zusammenfassungskriterien, Feldübersetzungen, abgerufene Beispieldaten, Zeitplanung und Konfigurationskachel-Quellinformationen.

    Hinweis:
    Wenn Sie einen Profiltyp für die manuelle Ereignisweiterleitung exportieren, werden die für die Beispielfeldzuordnung verwendeten Anhangsdaten kopiert, die Anhangsdatei selbst wird jedoch nicht exportiert.

    Prozedur

    1. Navigieren zu Alle > Splunk ES-Integration > Splunk ES-Ereignisprofilean.
    2. Wählen Sie ein Profil aus, das Sie in ein anderes exportieren möchten ServiceNow AI Platform Instanz.
      Sie können mehrere Profile für den Export auswählen.
    3. Klicken Sie im Menü Aktionen auf Exportieren .
    4. Sobald die Meldung „Export abgeschlossen“ angezeigt wird, klicken Sie auf Herunterladen .

      Die folgende Abbildung zeigt den Export eines Profils (SplunkES3profile) aus dem ServiceNow AI Platform Instanz (psand.service-now.com).

      Splunk-Profildaten werden exportiert.

      Die exportierte Datei payload.xml wird auf Ihren Computer heruntergeladen. Die Datei enthält den Profilnamen, Korrelationsregeln, Zuordnungen, Filter, Zusammenfassungskriterien Feldübersetzungen, abgerufene Beispieldaten, Zeitplanung und Konfigurationskachel-Quellinformationen. Wenn Sie mehrere Profile auswählen und herunterladen, werden sie in derselben Datei payload.xml angezeigt.

      Sie können jetzt mit dem Import des Profils in ein anderes fortfahren ServiceNow AI Platform Instanz.

    5. Navigieren zu Splunk ES-Integration > Splunk ES-Ereignisprofilean.
    6. Klicken Sie auf Importieren.
    7. Klicken Sie Auf Wählen Sie die Datei aus Und wählen Sie die XML-Datei auf Ihrem Computer aus.
    8. Klicken Sie auf Hochladen.
    9. Klicken Sie Auf Profile schließen und neu laden .

      Die folgende Abbildung zeigt den Import eines Profils (SplunkES3profile) aus dem ServiceNow AI Platform Instanz (psand.service-now.com) zu ServiceNow AI Platform Instanz (ppsand.service-now.com).

      Splunk-Profil wird importiert.

      Sie haben das Profil erfolgreich aus einem anderen importiert ServiceNow AI Platform Instanz.

      Überprüfen Sie, ob die exportierte Quelle ( Splunk API-Account und Splunk Server-URL) und MID-Server-Konfigurationseinstellungen sind gültig und in importiert verfügbar ServiceNow AI Platform Instanz. Aktualisieren Sie Ihren Splunk Enterprise Security Konfiguration, falls erforderlich.

    10. Wahlweise: Überprüfen Sie die MID-Server-Einstellungen nach dem Importieren eines Profils.
    11. Wahlweise: Navigieren zu Security Operations > Integrationskonfigurationenan.
    12. Wahlweise: Wählen Sie aus Splunk Enterprise Security Konfigurationskachel und klicken Sie auf Aktualisieren .
    13. Wahlweise: Überprüfen und aktualisieren Sie die Quell- und MID-Server-Details nach Bedarf.