Prüfliste für Splunk Enterprise Security Integration der bemerkenswerten Ereigniserfassung
Verwenden Sie diese Prüfliste, um Sie durch alle Aufgaben der Integration zu führen. Die folgende Prüfliste enthält Setup- und Installationsaufgaben sowie Beispiele für Anwendungsfälle, die die erwarteten Ergebnisse für die Integration enthalten.
Vorbereitungen
Erforderliche Rollen: sn_si.ingestion_profile_admin, admin, sn_si.admin, sn_si.Analyst, Splunk Enterprise Security Administrator
Warum und wann dieser Vorgang ausgeführt wird
Verfolgen Sie Ihren Fortschritt beim Setup, der Installation und der Konfiguration der Integration mit der folgenden Tabelle. Schließen Sie alle Aufgaben für einen Schritt ab, bevor Sie mit dem nächsten Schritt fortfahren. Jede Zeile der Tabelle listet Aufgaben auf und gibt die Rollen an, die zur Ausführung der Aufgaben erforderlich sind. Nummerierte Themen des Installations- und Konfigurationsleitfadens werden ebenfalls referenziert.
Die für jede Aufgabe erforderlichen Rollen werden mit jedem Schritt in der folgenden Tabelle aufgeführt.
Prozedur
-
Führen Sie die Schritte in der Tabelle in der Reihenfolge aus, in der sie angezeigt werden.
Tabelle : 1. Prüfliste 
Als Anwender mit ServiceNow AI Platform administratorrolle, richten Sie Ihr ein ServiceNow AI Platform Instanz.
- Weisen Sie Anwender mit zu sn_si.ingestion_profile_admin (Oder sn_si.admin) und sn_si.Analyst-Rollen nach Bedarf.
- Installieren und konfigurieren Sie einen MID-Server, wenn dies der Fall ist Splunk Server wird in Ihrem Unternehmensnetzwerk bereitgestellt.
- Überprüfen Sie, ob ServiceNow Security Incident Response Plugins werden für Ihr Release von aktiviert ServiceNow AI Platform.
- (Optional) wenn Sie Ereignisse manuell von Ihrem weiterleiten möchten Splunk Enterprise Security-Konsole in Ihrem ServiceNow AI Platform Instanz: Stellen Sie sicher, dass Sie einem Anwender mit die Rolle (sn_sec_splunkes.api_Account_Access) zugewiesen haben Splunk Enterprise Security Administratorberechtigung.
Weitere Informationen finden Sie unter Richten Sie Ihr ein ServiceNow AI Platform Instanz für Splunk Enterprise Security Integration.
Als Anwender mit ServiceNow AI Platform administratorrolle installieren und konfigurieren Splunk Enterprise Security Anwendung aus dem ServiceNow Store.
- Laden Sie die Anwendung herunter, und installieren Sie sie auf Ihrem ServiceNow AI Platform Instanz.
- Konfigurieren Sie die Anwendung, und stellen Sie eine Verbindung mit her Splunk Enterprise Security Konsole.
Weitere Informationen finden Sie unter Installieren und konfigurieren Splunk Enterprise Security Integration der bemerkenswerten Ereigniserfassung.
(Optional) wenn Sie Ereignisse manuell aus exportieren möchten Splunk Enterprise Security-Konsole zu Ihrem ServiceNow AI Platform Führen Sie die folgenden Aufgaben aus:
- Als Splunk Enterprise Security Administrator, installieren, einrichten und aktivieren ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Security Aus SPLunkbase in Ihrem Splunk Enterprise Security Konsole.
- Als Splunk Enterprise Security Administrator, falls nicht bereits konfiguriert, speichern Sie Suchvorgänge als wichtige Ereignisse in Ihrem Splunk Enterprise Security Konsole.
Weitere Informationen finden Sie unter Richten Sie Ihr ein Splunk Umgebung für die manuelle Ereigniserfassung für Splunk Enterprise Security Integration der bemerkenswerten Ereigniserfassung.
Als Anwender mit ServiceNow AI Platform sn_si.ingestion_profile_admin Rolle, erstellen und benennen Sie ein Ereignisprofil.
Wählen Sie den Profiltyp aus der Auswahlliste aus. Optionen sind ein geplantes Warnungsprofil, das Sie zum Erfassen von Beispieldaten verwenden, oder ein Ereignisprofil, das Sie zum manuellen Exportieren von Anhangsdaten aus Ihrem verwenden Splunk Enterprise Security Konsole.
- Wählen Sie für eine geplante Warnung eine verfügbare Warnung aus.
- Erstellen Sie für ein Profil für manuell exportierte Daten eine neue Zuordnung, oder kopieren Sie eine vorhandene Zuordnung.
Weitere Informationen finden Sie unter Erstellen und benennen Sie ein Ereignisprofil für Splunk Enterprise Security Integration der Ereigniserfassung.
Als Anwender mit ServiceNow AI Platform sn_si.ingestion_profile_admin Rolle, Zuordnungswerte, die erfasst wurden, oder Anhangsdaten, die aus exportiert werden Splunk Enterprise Security Bis ServiceNow AI Platform Security Incidents.
- Ruft Beispieldaten für eine geplante Warnung ab.
- (Optional) Exportieren Sie Anhangsdaten manuell aus Splunk Enterprise Security Für ein Ereignis.
- Bearbeiten Sie die Standardzuordnungskonfiguration.
- Fügen Sie optional Filterkriterien hinzu, fügen Sie eine Warnung an einen vorhandenen Security Incident an, und verwenden Sie den Skripteditor.
Weitere Informationen finden Sie unter Zuordnung von wichtigen Ereignisfeldern für Splunk Enterprise Security Integration und Erstellen Sie Zuordnungen für Splunk ESÜberprüfung von auffälligen Ereignis-Incidents und Details zu beitragenden Ereignissen (geplante Erfassung).
- Als Anwender mit ServiceNow AI Platform sn_si.ingestion_profile_admin Rolle, zeigen Sie eine Vorschau der Daten von an Splunk Enterprise Die auf einer angezeigt wird ServiceNow AI Platform Security Incident.
- Beheben Sie Fehler, oder fügen Sie fehlende Daten hinzu, damit keine Fehlermeldungen angezeigt werden.
Weitere Informationen finden Sie unter Vorschau des Security Incidents für anzeigen Splunk Enterprise Security Integration der Ereigniserfassung.
Als Anwender mit ServiceNow AI Platform sn_si.ingestion_profile_admin Rolle: Planen Sie den Warnungsabruf für ein Profil mit einer geplanten Warnung.
Weitere Informationen finden Sie unter Planen und rufen Sie neue und aktualisierte wichtige Ereignisse für ab Splunk Enterprise Security Integration der Ereigniserfassung.
Sie haben die Einrichtungsschritte erfolgreich abgeschlossen und die erwarteten Ergebnisse für die Integration verifiziert.