Prüfliste für Splunk Enterprise Event Ingestion Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Verwenden Sie diese Prüfliste, um Sie durch alle Aufgaben der Integration zu führen. Die folgende Prüfliste enthält Setup- und Installationsaufgaben sowie Beispiele für Anwendungsfälle, die die erwarteten Ergebnisse für die Integration enthalten.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Verfolgen Sie Ihren Fortschritt beim Setup, der Installation und der Konfiguration der Integration mit der folgenden Tabelle. Schließen Sie alle Aufgaben für einen Schritt ab, bevor Sie mit dem nächsten Schritt fortfahren. Jede Zeile der Tabelle listet Aufgaben auf und gibt die Rollen an, die zur Ausführung der Aufgaben erforderlich sind. Nummerierte Themen des Installations- und Konfigurationsleitfadens werden ebenfalls referenziert.

    Erforderliche Rollen: Rollen werden für jeden Schritt unten aufgeführt.

    Prozedur

    1. Als Anwender mit ServiceNow AI Platform administratorrolle, richten Sie Ihr ein ServiceNow AI Platform Instanz.
      • Weisen Sie Anwender mit zu sn_si.ingestion_profile_admin (Oder sn_si.admin) und sn_si.Analyst-Rollen nach Bedarf.
      • Installieren und konfigurieren Sie einen MID-Server, wenn dies der Fall ist Splunk Server wird in Ihrem Unternehmensnetzwerk bereitgestellt.
      • Überprüfen Sie, ob ServiceNow Security Incident Response Plugins werden für Ihr Release von aktiviert ServiceNow AI Platform.
      • Wenn Sie Ereignisse manuell von Ihrem weiterleiten möchten Splunk Enterprise-Konsole in Ihrem ServiceNow AI PlatformÜberprüfen Sie, ob Sie einem Anwender mit die Rolle (sn_sec_splunk_v2.api_Account_Access) zugewiesen haben Splunk Enterprise enterprise-Administratorberechtigung.

      Weitere Informationen finden Sie unter Richten Sie Ihr ein ServiceNow AI Platform Instanz für Splunk Enterprise Event Ingestion Integration.

      Sie haben die Einrichtungsschritte erfolgreich abgeschlossen und die erwarteten Ergebnisse für die Integration verifiziert.
    2. Als Anwender mit ServiceNow AI Platform administratorrolle installieren und konfigurieren Splunk Enterprise Event Ingestion Anwendung aus dem ServiceNow Store.
      1. Laden Sie die Anwendung herunter, und installieren Sie sie auf Ihrem ServiceNow AI Platform Instanz.
      2. Konfigurieren Sie die Anwendung, und stellen Sie eine Verbindung mit her Splunk Enterprise Konsole.

      Weitere Informationen finden Sie unter Installieren und konfigurieren Sie ServiceNow Anwendung für Splunk Enterprise Event Ingestion Integration.

    3. Wahlweise: Wenn Sie Ereignisse manuell aus exportieren möchten Splunk Enterprise-Konsole zu Ihrem ServiceNow AI Platform Führen Sie die folgenden Aufgaben aus:
      1. Als Splunk Enterprise Administrator, installieren, einrichten und aktivieren ServiceNow Security Operations-Ereigniserfassungs-Add für Splunk Enterprise Aus SPLunkbase in Ihrem Splunk Enterprise Konsole.
      2. Als Splunk Enterprise Administrator, falls nicht bereits konfiguriert, speichern Sie Suchen als Warnungen in Ihrem Splunk Enterprise Konsole.

        Weitere Informationen finden Sie unter Richten Sie Ihr ein Splunk Umgebung für die manuelle Ereigniserfassung für Splunk Enterprise Integration der Ereigniserfassung und Speichern Sie Suchvorgänge in Splunk Enterprise-Konsole für Splunk Enterprise Event Ingestion Integration.

    4. Als Anwender mit ServiceNow AI Platform sn_si.ingestion_profile_admin Rolle, erstellen und benennen Sie ein Ereignisprofil.

      Wählen Sie den Profiltyp aus der Auswahlliste aus. Optionen sind ein geplantes Warnungsprofil, das Sie zum Erfassen von Beispieldaten verwenden, oder ein Ereignisprofil, das Sie zum manuellen Exportieren von Anhangsdaten aus Ihrem verwenden Splunk Enterprise Konsole.

      • Wählen Sie für eine geplante Warnung eine verfügbare Warnung aus.
      • Erstellen Sie für ein Profil für manuell exportierte Daten eine neue Zuordnung, oder kopieren Sie eine vorhandene Zuordnung.

      Weitere Informationen finden Sie unter Erstellen und benennen Sie ein Ereignisprofil.

    5. Als Anwender mit ServiceNow AI Platform sn_si.ingestion_profile_admin Rolle, Zuordnungswerte, die erfasst wurden, oder Anhangsdaten, die aus exportiert werden Splunk Enterprise Bis ServiceNow AI Platform Security Incidents.
      1. Ruft Beispieldaten für eine geplante Warnung ab.
      2. Exportieren Sie Anhangsdaten manuell aus Splunk Enterprise Für ein Ereignis.
      3. Bearbeiten Sie die Standardzuordnungskonfiguration.
      4. Fügen Sie optional Filterkriterien hinzu, fügen Sie eine Warnung an einen vorhandenen Security Incident an, und verwenden Sie den Skripteditor.

      Weitere Informationen finden Sie unter Zuordnung von Warnungen und Ereignissen für Splunk Enterprise Event Ingestion Integration und Ordnen Sie Warnungen für zu Splunk Enterprise Event Ingestion Integration.

    6. Als Anwender mit ServiceNow AI Platform sn_si.ingestion_profile_admin Rolle, zeigen Sie eine Vorschau der Daten von an Splunk Enterprise Die auf einer angezeigt wird ServiceNow AI Platform Security Incident.

      Beheben Sie Fehler, oder fügen Sie fehlende Daten hinzu, damit keine Fehlermeldungen angezeigt werden.

      Weitere Informationen finden Sie unter Vorschau des Security Incidents für anzeigen Splunk Enterprise Event Ingestion Integration.

    7. Als Anwender mit ServiceNow AI Platform sn_si.ingestion_profile_admin Rolle: Planen Sie den Warnungsabruf für ein Profil mit einer geplanten Warnung.

      Weitere Informationen finden Sie unter Planen und rufen Sie Warnungen für ab Splunk Enterprise Event Ingestion Integration.