Installieren und konfigurieren Sie ServiceNow Anwendung für Splunk Enterprise Event Ingestion Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Bevor Sie die Integration für ausführen ServiceNow AI Platform® Führen Sie diese Installations- und Konfigurationsschritte aus, damit die Anwendung ordnungsgemäß in integriert wird Security Incident Response Und Security Operations Produkte auf Ihrem ServiceNow AI Platform® Instanz.

    Vorbereitungen

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Prozedur

    1. Wenn Sie den nicht installiert haben Splunk Enterprise Event Ingestion Anwendung aus dem ServiceNow Store Informationen zur Integration finden Sie unter Installieren Sie ein Security Operations Integration Und führen Sie die Schritte aus, um es zu installieren.
    2. Nachdem Sie die Anwendung erfolgreich installiert haben, navigieren Sie zu Integrationen > Integrationskonfigurationen Und suchen Sie Splunk Kachel „Ereigniserfassungen“.
    3. Klicken Sie auf , um die Anwendung zu konfigurieren Neu .
      Splunk – neue Konfigurationskachel.
    4. Alternativ, wenn ein Konfigurieren Die Schaltfläche wird auf einer Kachel angezeigt. Klicken Sie darauf, um eine vorhandene Konfiguration zu bearbeiten.
    5. Füllen Sie die Felder im angezeigten Dialogfeld „Konfiguration der Ereigniserfassungen“ aus.
      FeldBeschreibung
      Name Name des Splunk Enterprise Konsole oder Splunk Cloud Für die Integration verwendete Instanz.

      Leerzeichen werden für Namen unterstützt, Klammern werden jedoch nicht unterstützt. Geben Sie beispielsweise ein HQ-USA , Oder HAUPTSITZ USA .
      Basis-URL der Splunk-API URL für Ihren Splunk Enterprise Konsole oder Splunk Cloud Instanz.
      Standardauthentifizierung Standard ist deaktiviert.

      Wenn Sie API-Account-Anwendername und API-Passwort für die Konfiguration verwenden, aktivieren Sie das Kontrollkästchen.
      API-Account-Anwendername Anwendername, den Sie für Ihren individuellen Anwenderaccount in erstellt haben Splunk Enterprise Konsole.
      API-Passwort Passwort, das Sie für Ihren individuellen Anwenderaccount in erstellt haben Splunk Enterprise Konsole.
      Token-basiert (verfügbar ab Version 12.0,0)

      Token-basierte Authentifizierung, die Sie für Ihren API-Anwenderaccount auf der erstellt haben Splunk Enterprise Konsole.
      Token Token, das Sie für Ihren API-Anwenderaccount auf erstellt haben Splunk Enterprise Konsole.
      MID-Server Bestimmter MID-Server, der in Ihrer Umgebung eingerichtet ist. Nur aktive und validierte MID-Server sind in dieser Auswahlliste verfügbar.
      Lokale Bereitstellung Standard ist deaktiviert.

      Wenn Sie die cloudbasierte Version von verwenden Splunk Enterprise, Stellen Sie sicher, dass das Kontrollkästchen deaktiviert ist.

      Wenn diese Option aktiviert ist, wird die Auswahlliste MID-Server angezeigt. Wenn Sie eine lokale Version von verwenden Splunk Enterprise, Führen Sie die folgenden Schritte aus, um einen MID-Server auszuwählen.

      1. Aktivieren Sie das Kontrollkästchen .

        Eine Auswahlliste wird angezeigt. Der Standardwert ist Beliebig .

      2. Wählen Sie Aus Beliebig Nur, wenn dieser MID-Server für konfiguriert ist Splunk Enterprise Event Ingestion Integration.
      3. Wählen Sie in der Auswahlliste die aus ServiceNow AI Platform® MID-Server, den Sie in Ihrer Instanz für diese spezifische Integration konfiguriert haben.

      Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular für eine Konfiguration einer lokalen Version von Splunk Enterprise Mit einem MID-Server.

      Konfigurationsformular mit ausgefüllten Feldern.

      Jeweils Splunk Enterprise Warnung, die Sie von erfassen Splunk Enterprise Die -Konsole erfordert ein eindeutiges Ereignisprofil in Ihrem ServiceNow AI Platform® Instanz. Die Quelle, die Sie im Formular „Konfiguration der Ereigniserfassungen“ konfigurieren, kann jedoch für mehrere wiederverwendet werden ServiceNow AI Platform® Profile, solange jedes Profil eindeutig erfasst wird Splunk Ausgelöste Warnungen.

    6. Klicken Sie auf Absenden.
      Nachdem die Validierung erfolgreich abgeschlossen wurde, wird die Seite „Sicherheitsintegrationen“ mit jeder Ihrer Konfigurationen angezeigt. Auf jeder gültigen Konfigurationskachel Konfigurieren Und Löschen Schaltflächen werden wie in der folgenden Abbildung angezeigt.
      Hinweis:
      Sie müssen entweder nur die Standardauthentifizierung oder die tokenbasierte Authentifizierung verwenden. Aktivieren Sie eine der Authentifizierungen, und geben Sie die entsprechenden Authentifizierungsdetails ein. Wenn Sie beide aktivieren, wird ein Fehler angezeigt.

      Nachdem es erfolgreich validiert und übermittelt wurde, werden alle Ereigniserfassungen durchgeführt Splunk Die Serverkonfiguration wird auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln nicht auf der Seite „Sicherheitsintegrationen“ angezeigt werden, klicken Sie oben rechts auf der Seite in der Auswahlliste Konfigurationen anzeigen auf Ja .

      Konfigurationsformular für Konfiguration der Splunk Enterprise-Ereigniserfassung.

    Wenn eine Fehlermeldung angezeigt wird, nachdem Sie auf geklickt haben Übermitteln Geben Sie Ihre Informationen erneut ein, und klicken Sie auf Übermitteln .

    Nächste Maßnahme

    Sie haben die Anwendung erfolgreich installiert und konfiguriert. Der nächste Schritt besteht darin, ein Ereignisprofil zu erstellen.