Speichern Sie Suchvorgänge in Splunk Enterprise-Konsole für Splunk Enterprise Event Ingestion Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Die folgenden Schritte zum Speichern von Suchen in Ihrem Splunk Enterprise-Konsole wird für einen Anwender mit bereitgestellt Splunk Enterprise Administratorrolle.

    Vorbereitungen

    Wenn Sie bereits gespeicherte Suchen und ausgelöste Warnungen in Ihrem haben Splunk Enterprise Konsole, müssen Sie diese Suchvorgänge für diese Integration nicht ändern.

    Die Integration von ServiceNow AI Platform® Security Operations Produkt mit Splunk Der Ereignisbenachrichtigungsservice ruft Ereignis- und Warnungsinformationen aus ab Splunk.

    Bevor Warnungen in erfasst werden Security Operations Umgebung, konfigurieren Sie Suchen in Ihrer Splunk Enterprise Konsole, damit Sie die relevanten Sicherheitsereignisse automatisch in abrufen können Splunk Enterprise Die Sie als Warnungen speichern möchten.

    Wenn Sie keine gespeicherten Suchen und ausgelösten Warnungen für die Benachrichtigung eingerichtet haben, wenn wichtige Sicherheitsereignisse in auftreten Splunk Enterprise Konsole führen Sie die folgenden Schritte aus, um Suchvorgänge zu speichern.

    Erforderliche Rolle: Splunk Enterprise Administrator

    Prozedur

    1. Melden Sie sich bei Ihrem Splunk Enterprise-Konto an.
    2. Klicken Sie auf Suchen Registerkarte.
    3. Geben Sie im angezeigten Feld neue Suche einen Wert für die Warnung ein, z. B. Malware.
    4. Um die Ereignisse im Zusammenhang mit Ihrer Suche anzuzeigen, klicken Sie rechts neben dem Feld neue Suche auf das Suchsymbol, oder drücken Sie die Eingabetaste.
      Die Suchergebnisse mit Ereignissen werden angezeigt.
    5. Um die Suche als Warnung zu speichern, erweitern Sie oben rechts auf der Seite die Auswahlliste Speichern als, und wählen Sie aus Warnung .
    6. Füllen Sie die Felder im angezeigten Formular aus.
      FeldBeschreibung
      Titel Beschreibender Name für die Warnung, z. B. Malware-Ereignisse. Nachdem Sie diese Suche als Warnung gespeichert haben, werden Ereignisse aus einer ausgelösten Warnung im angezeigt Splunk Service werden mithilfe dieser Suchdaten automatisch in ausgelöste Warnungen verarbeitet. Dieser Titel der ausgelösten Warnung wird im Ereignisprofil verwendet, das Sie in erstellen ServiceNow AI Platform Instanz, um zu identifizieren, für welche Ereignisse in Ihrer Instanz erfasst werden ServiceNow AI Platform® Security Incident Response SIR Security Incident-Erstellung.
      (Optional) Beschreibung Text, der Ihnen hilft, diese Warnung von anderen Warnungen zu unterscheiden.
      Warntyp Wählen Sie in den angezeigten Feldern die Option aus Geplant Um nach dieser Warnung in einem Zeitplan zu suchen, oder Echtzeit Um kontinuierlich nach dieser Warnung zu suchen.
      Auslöserergebnisse Möglicherweise möchten Sie eine der folgenden Filterbedingungen festlegen:
      • Anzahl der Ergebnisse ist größer oder kleiner als
      • Einmalig (einmal) für jedes Ergebnis
      Auslöseraktionen Fügen Sie Aktionen hinzu, um diese Warnung auszulösen. Erweitern Sie die Auswahlliste Hinzufügen, und klicken Sie auf Zu ausgelöste Warnungen hinzufügen Damit sie im Formular angezeigt wird. Sie können diese Einstellung für die Warnungen bevorzugen, die Sie in aufnehmen ServiceNow AI Platform Instanz.
    7. Klicken Sie auf Speichern.
      Ihre Warnung wird gespeichert und auf der Registerkarte Warnungen auf der Suchseite angezeigt.
      Die Splunk Der Service ruft die Ereignisse ab, indem er den Kriterien entspricht, die Sie in der Warnung konfiguriert haben. Die Ereignisse werden zwischengespeichert, und Sie fordern diese Ereignisse dann aus Ihren Profilen an, die Sie in eingerichtet haben ServiceNow AI Platform Instanz. Da der Abruf von Ereignissen aus einem Cache in erfolgt Splunk Service, diese Erfassung von Ihrem ServiceNow AI Platform Hat keine Auswirkungen auf die Leistung von Splunk Plattform.

    Nächste Maßnahme

    Sie haben das erforderliche Setup für die Integration in erfolgreich abgeschlossen Splunk Enterprise Konsole. Wenn Sie die Anwendung für die Integration noch nicht über installiert haben ServiceNow Store, Der nächste Schritt besteht darin, die Anwendung für die Integration zu installieren und zu konfigurieren.