Richten Sie Ihr ein Splunk Umgebung für die manuelle Ereigniserfassung für Splunk Enterprise Integration der Ereigniserfassung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Wenn Sie Ereignisse manuell und bei Bedarf aus exportieren möchten Splunk Enterprise-Konsole für diese Integration installieren und einrichten ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Anwendung in Ihrem Splunk enterprise-Konsole oder Splunk-Cloud-Instanz.

    Vorbereitungen

    Überprüfen Sie, ob Sie die Anwendung für diese Integration über installiert haben ServiceNow Store Vor der Installation des Add-on-Plugins aus splunkbase, das für die manuelle Ereigniserfassung erforderlich ist. Wenn Sie die Anwendung für die Integration nicht über installiert haben ServiceNow Store, Siehe Installieren und konfigurieren Sie ServiceNow Anwendung für Splunk Enterprise Event Ingestion Integration Und befolgen Sie die Anweisungen zur Installation.

    Erforderliche Rolle: ServiceNow AI Platform Administrator (Administrator)

    Warum und wann dieser Vorgang ausgeführt wird

    Installieren und Einrichten von ServiceNow Addon für Security Operations-Ereigniserfassung ist optional.

    Wenn Sie Ereignisse manuell und bei Bedarf aus exportieren möchten Splunk Enterprise Konsole für die -Integration herunterladen, installieren und einrichten ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Aus SPLunkbase in Ihrem Splunk Enterprise Konsole.

    Dies ServiceNow Das Erweiterungs-Add-on ist erforderlich, damit Security Incidents aus manuell exportierten Ereignissen in erstellt werden können ServiceNow AI Platform Instanz. Dies ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Anwendung ist für verfügbar Splunkbase .

    Für die manuelle Ereignisweiterleitung können Sie bis zu zwei verschiedene identifizieren ServiceNow AI Platform Endpunkte (Instanzen) in Ihrem Splunk Enterprise Konsole. Sie leiten die Ereignisse manuell an den Endpunkt oder Endpunkte weiter, um Security Incidents zu erstellen. Sie können beispielsweise sowohl eine Bereitstellungs-(Entwicklungs-)Instanz als auch eine Produktionsinstanz angeben. Indem Sie separate Instanzen angeben und primäre und sekundäre Workflows für jede Instanz benennen, können Sie auswählen, wohin Sie verschiedene Ereignisse weiterleiten möchten.

    Prozedur

    1. Wenn Sie noch nicht installiert haben ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise, Führen Sie die folgenden Schritte aus, um es zu installieren und zu konfigurieren.
      1. Navigieren Sie zu Splunkbase .
      2. Suchen Sie nach ServiceNow Security Operations Security Operations-Ereigniserfassungs-Add für Splunk Enterprise.
        Hinweis:
        Überprüfen Sie, ob Sie ausgewählt haben ServiceNow Security Operations Ereigniserfassungs-Add-on für Splunk Enterprise. Es gibt zusätzliche ServiceNow add-ons, die in dieser Liste angezeigt werden. Diese Add-ons sind für verschiedene bestimmt ServiceNow Splunk Integrationen und sind für diese Integration nicht erforderlich.
      3. Laden Sie die Anwendung herunter.
      4. Öffnen Sie Ihren Splunk Enterprise Account.
      5. Klicken Sie auf der Seite „Apps“ auf das Zahnradsymbol oder auf Apps Verwalten Verknüpfung in der Dropdown-Liste des Menüs.
      6. Klicken Sie oben links auf der angezeigten App-Seite auf Installieren Sie die App aus der Datei .
      7. Klicken Sie Auf Wählen Sie Datei , Wählen Sie aus ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise, Und klicken Sie auf Hochladen .
      8. Starten Sie bei Aufforderung neu Splunk Enterprise.
        Die ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Ist in installiert Splunk Enterprise enterprise-Konsole. Der nächste Schritt zum Einrichten des Add-ons.
    2. Führen Sie die folgenden Schritte aus, um das Add-on einzurichten.
      1. In Splunk Enterprise, Klicken Sie auf Apps Zahnradsymbol oder Apps Verwalten In der Dropdown-Liste des Menüs.
      2. In der Liste der Anwendungen, die in angezeigt wird Aktionen Klicken Sie auf die Spalte Einrichten Für ServiceNow Security Operations Ereigniserfassungs-Add-on für Splunk Enterprise.
      3. Füllen Sie das Formular aus.
        Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular in Ihrem Splunk Enterprise Konsole.
        Formular mit Konfigurationseinstellungen für primäre und sekundäre ServiceNow-Instanzen ausgefüllt
      Feld im Abschnitt „primäre ServiceNow-Instanz angeben“Beschreibung
      Bezeichnung der Workflow-Aktion Name des ServiceNow AI Platform Workflow für Ihre (primäre) Produktionsinstanz. Dieser Name ist der Name von ServiceNow AI Platform Instanz, die Ihre Anwender überwachen Splunk Ereignisse werden als primäre Instanz identifiziert, z. B. ServiceNow-Ereigniserfassung (Produktion).

      Der Standard für dieses Feld ist ServiceNow-Ereigniserfassung (Produktion).

      In Ihrem Splunk Enterprise Konsole, wird dieser Workflow-Name für die Produktionsinstanz (primäre) in erweitert angezeigt Ereignisaktionen Dropdown-Liste einer Suche. Dieser Name ist der Name Ihrer Produktionsinstanz. Sie können den Namen bearbeiten.
      URL Die URL für ServiceNow AI Platform Instanz, die Sie im Feld „Bezeichnung der vorangegangenen Workflow-Aktion“ eingegeben haben.

      Kopieren Sie die URL in Ihren Browser, und fügen Sie sie in dieses Feld im Formular ein.
      Endpunkt Basis-API-Pfad. Weitere Informationen finden Sie in der Abbildung nach der Tabelle.

      Wenn Sie keinen Wert für den Endpunkt von haben ServiceNow AI Platform Führen Sie die folgenden Schritte aus: Produktionsinstanz.

      1. Melden Sie sich bei an ServiceNow AI Platform Produktionsinstanz als Anwender mit der Rolle „Systemadministrator“ (Administrator).
      2. Geben Sie Ein Geskriptete REST-APIs Im Navigationsbereich.
      3. Nachdem der Navigationsbereich aktualisiert wurde, wählen Sie aus Geskriptete REST-APIs Modul, das angezeigt wird.
      4. Wenn die Ereigniserfassung nicht in der Spalte Name des aufgeführt ist Geskriptete REST-APIs Liste, die angezeigt wird, geben Sie im Suchfeld oben ein Ereigniserfassung .
      5. Kopieren Sie diesen Wert in der Spalte Basis-API-Pfad auf der aktualisierten Seite, und fügen Sie ihn in das Feld Endpunkt im Formular ein. Ein Beispiel für einen Basis-api-Pfad ist: /api/sn_sec_splunk_v2/event_ingestion .
      Anwendername Anwendername für Ihren ServiceNow AI Platform Instanz. Dieser Name ist der Anwendername für ServiceNow AI Platform Instanz, in der Sie einem Anwender die Rolle (sn_sec_splunk_v2.api_Account_Access) für die manuelle Ereignisweiterleitung zugewiesen haben.

      Weitere Informationen zum Zuweisen dieser Rolle finden Sie unter Richten Sie Ihr ein ServiceNow AI Platform Instanz für Splunk Enterprise Event Ingestion Integration.
      Passwort Passwort für Ihren ServiceNow AI Platform Instanz.

      Dieses Passwort ist das Passwort für ServiceNow AI Platform Instanz, in der Sie einem Anwender die Rolle (sn_sec_splunk_v2.api_Account_Access) für die manuelle Ereignisweiterleitung zugewiesen haben.
      (Optional) Felder im Abschnitt „Sekundäre ServiceNow-Instanz angeben“ Beschreibung

      Diese Felder sind optional. Sie müssen keine sekundäre Instanz angeben.
      Bezeichnung der Workflow-Aktion Name des ServiceNow AI Platform Workflow für Ihre sekundäre Instanz (Staging). Dieser Name ist der Name von ServiceNow AI Platform Instanz, die Ihre Anwender überwachen Splunk Ereignisse identifizieren sich als sekundäre Instanz, z. B. ServiceNow Ereigniserfassung (Bereitstellung).

      In Ihrem Splunk Enterprise Konsole, wird dieser Workflow-Name für die Instanz „Staging“ (sekundär) in der Dropdown-Liste „Ereignisaktionen“ einer Suche angezeigt. Dies ServiceNow AI Platform Instanz ist Ihre Bereitstellungsinstanz. Sie können den Namen bearbeiten.
      URL Die URL für ServiceNow AI Platform Instanz, die Sie im Feld „Bezeichnung der vorherigen Workflow-Aktion“ für die sekundäre Instanz eingegeben haben ServiceNow AI Platform Instanz.

      Kopieren Sie die URL in Ihren Browser, und fügen Sie sie in dieses Feld im Formular ein.
      Endpunkt Basis-API-Pfad. Dieser Wert für den Basis-API-Pfad für Ihre sekundäre Instanz ist derselbe Wert wie der Basis-API-Pfad für Ihre primäre Instanz. Weitere Informationen finden Sie in der vorangehenden Abbildung des Formulars.
      Anwendername Anwendername für Ihren ServiceNow AI Platform Bereitstellungsinstanz. Der Anwender muss über die Rolle (sn_sec_splunk_v2.api_Account_Access) verfügen.
      Passwort Passwort für Ihren ServiceNow AI Platform Bereitstellungsinstanz. Der Anwender muss über die Rolle (sn_sec_splunk_v2.api_Account_Access) verfügen.
      Die folgende Abbildung ist ein Beispiel für die Liste geskriptete REST APIs in Ihrem ServiceNow AI Platform. In der Liste wird die Position des Endpunktwerts von angezeigt ServiceNow AI Platform Instanz, die Sie im Rahmen der Einrichtung für in das Formular eingeben ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Erweiterung in Ihrem Splunk Enterprise Konsole.
      Abbildung : 1. Liste der geskripteten REST-APIs in ServiceNow AI Platform
      Basis-API-Pfad hervorgehoben.
    3. Im Setup-Formular in Ihrem Splunk Enterprise Konsole, klicken Sie auf Speichern Um Ihre Änderungen zu speichern.

      Nach einigen Minuten oben links im Formular in Ihrem Splunk Enterprise Konsole wird eine Nachricht angezeigt, dass der Datensatz erfolgreich aktualisiert wurde.

      Nachdem Sie das Formular gespeichert haben, werden die Namen (Workflow-Aktionsbezeichnungen) für gespeichert ServiceNow AI Platform Instanzen, die Sie im Formular erstellt haben, sind in der Auswahlliste Ereignisaktionen für ein ausgewähltes Ereignis einer Suche in verfügbar Splunk Enterprise Konsole.

    Nächste Maßnahme

    Wenn Sie Suchvorgänge noch nicht in gespeichert haben Splunk Enterprise-Konsole besteht der nächste Schritt darin, Suchvorgänge als Warnungen in Ihrer zu speichern Splunk Enterprise Konsole.