Richten Sie die Instanz ein, in der Incidents oder Ereignisse erstellt werden, oder ändern Sie sie

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 6 Minuten Lesedauer

    • Zum Einrichten oder Ändern von ServiceNow Instanz, in der neue Security Incidents und Security Events erstellt werden, verwenden Sie die Aktion Setup in der Anwendungsliste.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Öffnen Splunk .
    2. Klicken Sie entweder auf Apps Zahnradsymbol, oder Apps Verwalten Verknüpfungsmenüelement.
    3. Suchen Sie in der Liste der Anwendungen nach ServiceNow Apps, die den Filter verwenden.
    4. Suchen Sie nach ServiceNow Security Operations-Integration , Und klicken Sie auf die entsprechende Einrichten Aktion.
    5. Füllen Sie im Formular die Felder aus.
      FeldBeschreibung
      Geben Sie den ServiceNow-Server an  
      URL URL für Ihren Splunk Enterprise Security Konsole oder Splunk Cloud Instanz. Die URL sollte den API-Port enthalten, z. B.: https://mysplunkserver.com:8089
      Authentifizierungstyp Option zum Auswählen des Authentifizierungstyps. Sie können auswählen Standardauthentifizierung Oder OAuth 2,0-Authentifizierung .
      • Wenn Sie API-Account-Anwendername und API-Passwort für die Konfiguration verwenden, aktivieren Sie Standardauthentifizierung Kontrollkästchen.

        Standard ist deaktiviert.

      • Wenn Sie die OAuth 2,0-Authentifizierung für die Konfiguration verwenden, aktivieren Sie OAuth 2,0-Authentifizierung Kontrollkästchen.

        Standard ist deaktiviert.
      Standardauthentifizierung  
      Anwendername Anwendername, den Sie für Ihren API-Anwenderaccount in erstellt haben Splunk Enterprise Security Konsole.
      Passwort Passwort, das Sie für Ihren API-Anwenderaccount auf erstellt haben Splunk Enterprise Security Konsole.
      Passwort bestätigen Geben Sie das Passwort erneut ein, um es zu bestätigen.
      OAuth 2,0-Authentifizierung  
      Client-ID Client-ID der auf dem ServiceNow-Server erstellten App.
      Geheimer Clientschlüssel Client-Geheimnis der App, die auf dem ServiceNow-Server erstellt wurde.
      Umleitungs-URL Die URL, zu der umgeleitet werden soll. Sie können diese URL kopieren und in Ihre Umleitungs-URL der ServiceNow-Registrierung einfügen.
      Optionaler Proxy  
      Proxy-URL Proxy-URL für Ihren Splunk Enterprise Security Konsole oder Splunk Cloud Instanz.
      Port Adresse des Ports.
      Anwendername Anwendername, den Sie für den Proxy-Account auf der erstellt haben Splunk Enterprise Security Konsole.
      Passwort Passwort, das Sie für den Proxy-Account auf der erstellt haben Splunk Enterprise Security Konsole.
      Passwort bestätigen Geben Sie das Passwort erneut ein, um es zu bestätigen.
      Setup Der Protokollierungsebene  
      Protokollierungsebene Die Ebene der durch die Integration generierten Berichterstellungsprotokolle, d. h. der Name des Informationstyps. Sie können den Wert auch auf die folgenden Optionen aktualisieren:
      • Info
      • Fehler
      • warnen
      • debuggen

      Standardmäßig ist der Wert Info .
      API-Auswahl  
      API-Auswahl Wählen Sie eine der folgenden APIs aus:
      • Tabellen-API
      • Importsatz-API

      ServiceNow Security Operations-Integration auf Splunk eingerichtet

    6. Klicken Sie auf Speichern.
    7. Alternativ suchen Sie nach ServiceNow-Ereigniserfassungsintegration , Und klicken Sie auf die entsprechende Einrichten Aktion.
      Die ServiceNow-Ereigniserfassungs-Integration ist in drei verschiedene Registerkarten konfiguriert.
      • Primärer Splunk : Die Standard- oder primäre Splunk-Konfiguration.
      • Splunk Sekundär : (Optional) die Sicherung oder zweite Splunk-Konfiguration.
      • Protokollierungsebene : Die Ebene der durch die Integration generierten Berichterstellungsprotokolle, d. h. der Name des Informationstyps.
    8. Wählen Sie aus Primärer Splunk Registerkarte.
    9. Füllen Sie im Formular die Felder aus.
      FeldBeschreibung
      Bezeichnung der Workflow-Aktion

      Name des Splunk Enterprise Security Primäre Konsole oder der Splunk Cloud Primäre Instanz, die für die Integration verwendet wird.

      Leerzeichen werden für Namen unterstützt, Klammern werden jedoch nicht unterstützt. Geben Sie beispielsweise ein SplunkES2 .
      URL URL für Ihren Splunk Enterprise Security Primäre Konsole oder der Splunk Cloud Primäre Instanz. Die URL sollte den API-Port enthalten, z. B.: https://mysplunkserver.com:8089
      Endpunkt Endpunkt für Ihren Splunk Enterprise Security Primäre Konsole oder der Splunk Cloud Primäre Instanz.
      Authentifizierungstyp Option zum Auswählen des Authentifizierungstyps. Sie können auswählen Standardauthentifizierung Oder OAuth 2,0-Authentifizierung .
      • Wenn Sie API-Account-Anwendername und API-Passwort für die Konfiguration verwenden, aktivieren Sie Standardauthentifizierung Kontrollkästchen.

        Standard ist deaktiviert.

      • Wenn Sie die OAuth 2,0-Authentifizierung für die Konfiguration verwenden, aktivieren Sie OAuth 2,0-Authentifizierung Kontrollkästchen.

        Standard ist deaktiviert.
      Standardauthentifizierung  
      Anwendername Anwendername, den Sie für Ihren API-Anwenderaccount in erstellt haben Splunk Enterprise Security Konsole.
      Passwort Passwort, das Sie für Ihren API-Anwenderaccount auf erstellt haben Splunk Enterprise Security Konsole.
      Passwort bestätigen Geben Sie das Passwort erneut ein, um es zu bestätigen.
      OAuth 2,0-Authentifizierung  
      Client-ID Client-ID der auf dem ServiceNow-Server erstellten App. Informationen zum Abrufen der Client-ID finden Sie unter Konfigurieren Sie die Anwendungsregistrierung auf der ServiceNow-Instanz
      Geheimer Clientschlüssel Client-Geheimnis der auf dem Server erstellten App. Informationen zum Abrufen des geheimen Clientschlüssels finden Sie unter Konfigurieren Sie die Anwendungsregistrierung auf der ServiceNow-Instanz
      Umleitungs-URL Die URL, zu der umgeleitet werden soll. Sie können diese URL kopieren und in Ihre Umleitungs-URL der ServiceNow-Registrierung einfügen. Informationen finden Sie unter Konfigurieren Sie die Anwendungsregistrierung auf der ServiceNow-Instanz
      Optionales Proxy-Setup  
      Proxy-URL Proxy-URL für Ihren Splunk Enterprise Security Sekundäre Konsole oder Splunk Cloud Sekundäre Instanz.
      Port Adresse des Ports.
      Anwendername Anwendername, den Sie für den Proxy-Account auf der erstellt haben Splunk Enterprise Security Sekundäre Konsole.
      Passwort Passwort, das Sie für den Proxy-Account auf der erstellt haben Splunk Enterprise Security Sekundäre Konsole.
      Passwort bestätigen Geben Sie das Passwort erneut ein, um es zu bestätigen.

      ServiceNow-Ereigniserfassungs-Integration auf Splunk eingerichtet

    10. Wahlweise: Wählen Sie aus Splunk Sekundär Registerkarte.
    11. Wahlweise: Füllen Sie im Formular die Felder aus.
      FeldBeschreibung
      Bezeichnung der Workflow-Aktion

      Name des Splunk Enterprise Security Sekundäre Konsole oder der Splunk Cloud Sekundäre Instanz, die für die Integration verwendet wird.

      Leerzeichen werden für Namen unterstützt, Klammern werden jedoch nicht unterstützt. Geben Sie beispielsweise ein SplunkES2 .
      URL URL für Ihren Splunk Enterprise Security Sekundäre Konsole oder der Splunk Cloud Sekundäre Instanz. Die URL sollte den API-Port enthalten, z. B.: https://mysplunkserver.com:8089
      Endpunkt Endpunkt für Ihren Splunk Enterprise Security Sekundäre Konsole oder der Splunk Cloud Sekundäre Instanz.
      Authentifizierungstyp Option zum Auswählen des Authentifizierungstyps. Sie können auswählen Standardauthentifizierung Oder OAuth 2,0-Authentifizierung .
      • Wenn Sie API-Account-Anwendername und API-Passwort für die Konfiguration verwenden, aktivieren Sie Standardauthentifizierung Kontrollkästchen.

        Standard ist deaktiviert.

      • Wenn Sie die OAuth 2,0-Authentifizierung für die Konfiguration verwenden, aktivieren Sie OAuth 2,0-Authentifizierung Kontrollkästchen.

        Standard ist deaktiviert.
      Standardauthentifizierung  
      Anwendername Anwendername, den Sie für Ihren API-Anwenderaccount in erstellt haben Splunk Enterprise Security Konsole.
      Passwort Passwort, das Sie für Ihren API-Anwenderaccount auf erstellt haben Splunk Enterprise Security Konsole.
      Passwort bestätigen Geben Sie das Passwort erneut ein, um es zu bestätigen.
      OAuth 2,0-Authentifizierung  
      Client-ID Client-ID der auf dem ServiceNow-Server erstellten App.
      Geheimer Clientschlüssel Client-Geheimnis der App, die auf dem ServiceNow-Server erstellt wurde.
      Umleitungs-URL Die URL, zu der umgeleitet werden soll. Sie können diese URL kopieren und in Ihre Umleitungs-URL der ServiceNow-Registrierung einfügen.
      Optionales Proxy-Setup  
      Proxy-URL Proxy-URL für Ihren Splunk Enterprise Security Sekundäre Konsole oder Splunk Cloud Sekundäre Instanz.
      Port Adresse des Ports.
      Anwendername Anwendername, den Sie für den Proxy-Account auf der erstellt haben Splunk Enterprise Security Sekundäre Konsole.
      Passwort Passwort, das Sie für den Proxy-Account auf der erstellt haben Splunk Enterprise Security Sekundäre Konsole.
      Passwort bestätigen Geben Sie das Passwort erneut ein, um es zu bestätigen.
    12. Wählen Sie aus Protokollierungsebene Registerkarte.
    13. Füllen Sie im Formular die Felder aus.
      FeldBeschreibung
      Protokollebene Die Ebene der durch die Integration generierten Berichterstellungsprotokolle, d. h. der Name des Informationstyps. Sie können den Wert auch auf die folgenden Optionen aktualisieren:
      • Info
      • Fehler
      • warnen
      • debuggen

      Standardmäßig ist der Wert Info .
    14. Klicken Sie auf Speichern.
      Nachdem die Validierung erfolgreich abgeschlossen wurde, wird die Seite „Sicherheitsintegrationen“ mit jeder Ihrer Konfigurationen angezeigt. Auf jeder gültigen Konfigurationskachel Aktualisieren Und Löschen Schaltflächen werden wie in der folgenden Abbildung angezeigt.
      Hinweis:
      Sie müssen entweder die Standardauthentifizierung oder nur die OAuth 2,0-Authentifizierung verwenden. Aktivieren Sie eine der Authentifizierungen, und geben Sie die entsprechenden Authentifizierungsdetails ein. Wenn Sie beide aktivieren, wird ein Fehler angezeigt.

      Nachdem es erfolgreich validiert und übermittelt wurde, werden alle Ereigniserfassungen durchgeführt Splunk Die Serverkonfiguration wird auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln nicht auf der Seite „Sicherheitsintegrationen“ angezeigt werden, klicken Sie in der oberen rechten Ecke der Seite in der Liste Konfigurationen anzeigen auf Ja .