Architecture d’intégration et connexion des systèmes externes pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • La rubrique suivante présente l’architecture d’intégration développée pour prendre en charge l’ingestion des alertes déclenchées à partir de la Splunk Enterprise console. Ces informations clarifient, à un niveau élevé, le fonctionnement conceptuel de l’intégration. Cela explique également pourquoi des étapes de configuration sont nécessaires avant l’installation de l’application à partir du ServiceNow Store.

    Termes clés utilisés pour cette intégration

    Les termes clés suivants sont utilisés lors de l’installation et de la configuration. Pour plus d’informations sur ces termes, consultez le site Web de la documentation produit ServiceNow et le site Web et les ressources de Splunk sur la page Ressources Splunk .

    ServiceNow AI Platform
    Un produit d’entreprise ServiceNow . Il ServiceNow AI Platform s’agit de la base sur laquelle reposent les composants individuels tels que Réponse aux incidents de sécurité (SIR), IT Service Management (ITSM) et d’autres produits.
    ServiceNow Module complémentaire Splunkbase
    Une ServiceNow application installée sur votre Splunk Enterprise console qui prend en charge l’option de transfert manuel d’événements de l’intégration. Le transfert manuel d’événements est une fonctionnalité facultative de l’intégration. Ce ServiceNow module complémentaire Splunkbase n’est pas requis pour l’ingestion d’alerte automatisée fournie par l’intégration.
    Réponse aux incidents de sécurité (SIR)
    Application ServiceNow AI Platform qui suit la progression des incidents de sécurité, de la découverte et de l’analyse initiale au confinement, en passant par l’éradication et la récupération, jusqu’à la revue et la fermeture finales post-incident.
    Splunk Enterprise
    Produit de gestion automatisée des événements d’incident de sécurité (SIEM) ou service dans le cloud qui collecte les données utilisées pour l’analyse et la gestion des incidents. Ce service se trouve sur un hôte parfois aussi appelé Splunk console dans ce guide.
    alerte Splunk
    Recherche que vous configurez et enregistrez pour Splunk rechercher des données spécifiques en fonction des paramètres que vous avez configurés dans le Splunk Enterprise service. Lorsque vous extrayez des alertes de Splunk, vous extrayez également tous les événements associés à cette alerte.
    Splunk Alerte déclenchée
    Une recherche configurée dans la Splunk Enterprise console qui renvoie des résultats et les marque comme des alertes déclenchées. Les alertes déclenchées sont ingérées à partir de la Splunk console dans votre ServiceNow AI Platform instance pour cette intégration. Les alertes déclenchées ont un ou Splunk plusieurs événements.
    Splunk événement
    Un ou plusieurs éléments de données qui entraînent le déclenchement des alertes du Splunk service. À partir de votre ServiceNow AI Platform instance, vous pouvez rechercher les événements qui Splunk ont déclenché ServiceNow AI Platform des incidents de sécurité.
    Serveur MID
    Cette application facilite la communication et le mouvement de données entre les applications, les sources de données et les ServiceNow AI Platform services externes. Cette application est généralement requise pour l’intégration avec les technologies sur site et, pour cette Splunk Enterprise Event Ingestion intégration, le serveur MID facilite la communication entre l’instance ServiceNow AI Platform et l’instance sur site de Splunk Enterprise. Un serveur MID n’est pas nécessaire si vous intégrez votre ServiceNow AI Platform instance à une Splunk Cloud instance.
    Administrateur d’incidents de sécurité (sn_si.admin)
    L’utilisateur disposant de ce rôle supervise la configuration de l’intégration avec le SIR produit dans votre ServiceNow AI Platform instance.
    Analyste des incidents de sécurité (sn_si.analyst)
    L’utilisateur disposant de ce rôle interagit avec les incidents de sécurité du produit et ServiceNow Réponse aux incidents de sécurité les analyse.
    Administrateur de profil d’incident de sécurité (sn_si.ingestion_profile_admin)
    L’utilisateur disposant de ce rôle configure le module d’extension, crée, modifie, supprime et gère les profils d’ingestion pour Azure Sentinel, Splunk et Splunk ES Integration pour le SIR produit dans votre ServiceNow AI Platform instance.

    Connexion aux systèmes externes

    Un profil d’événement est un conteneur que vous créez, nommez et configurez pour une connexion et un appel uniques Splunk au service afin d’extraire les alertes déclenchées les plus récentes qui correspondent à des critères spécifiques. Une fois que les alertes déclenchées correspondant à votre profil ont été extraites de , vous sélectionnez celle que vous souhaitez afficher en tant qu’incident ServiceNow AI Platform Réponse aux incidents de sécurité SIR de Splunk sécurité. Une vue par défaut des champs d’alerte Splunk Enterprise est disponible, et vous pouvez modifier ce mappage des champs d’alerte sur les champs d’un SIR incident de sécurité pour répondre à vos besoins. Vous prévisualisez votre mappage pour vérifier que toutes les valeurs de champ d’alerte requises sont renseignées sur l’incident SIR de sécurité. Pour terminer la configuration du profil d’alerte, vous planifiez la récupération des alertes, puis activez le profil. Après avoir activé le profil dans le ServiceNow AI Platform, vous êtes prêt à ingérer automatiquement les alertes historiques et en cours Splunk .

    En tant qu’utilisateur disposant du rôle sn_si.admin, si vous déterminez qu’une nouvelle alerte déclenchée est similaire aux alertes précédemment ingérées, vous pouvez agréger les nouvelles alertes déclenchées aux incidents de sécurité existants SIR . Vous définissez des critères pour spécifier les valeurs de champ cible correspondantes dans le profil d’alerte Splunk Enterprise qui définissent quand un incident de sécurité existant est mis à jour et quand un nouvel incident de sécurité est créé. Si la fonctionnalité d’agrégation est activée dans votre profil d’événement, lorsque le jeu d’importation est transformé, votre ServiceNow AI Platform instance recherche un enregistrement existant dans la table cible qui a la même valeur dans les champs cible et source. Si un enregistrement existant avec une valeur correspondante dans la table cible est trouvé, cet enregistrement est mis à jour. Si aucun enregistrement correspondant n’est trouvé, un nouvel enregistrement est créé dans la table cible. Si elle est activée, l’option d’agrégation met à jour les incidents de sécurité existants avec de nouvelles alertes déclenchées, et vous évitez de créer plusieurs incidents de sécurité. Pour plus d’informations sur la mise à jour des enregistrements à l’aide des options d’agrégation, voir Mise à jour des enregistrements à l’aide de la coalescence.

    Cette application utilise le Splunk service API pour récupérer des informations à partir du Splunk service. Une connexion HTTPS sortante du serveur MID vers cet environnement est nécessaire pour que l’intégration fonctionne correctement.

    Une fois connectée au Splunk service, l’intégration prend en charge l’extraction et l’ingestion des alertes et des événements déclenchés qui déclenchent des incidents de sécurité.

    Le flux de données de base est illustré dans les figures suivantes. Dans chaque figure, vous ServiceNow AI Platform extrayez (ingérez) des données. Splunk ne transmet pas les données pour les alertes planifiées.

    Figure 1. Connexion à un service d’entreprise sur site Splunk avec un seul serveur MID
    Connexion avec un seul serveur MID.
    Figure 2. Connexion à une Splunk instance de cloud d’entreprise
    Configuration deux.
    Figure 3. Connexions multiples au service d’entreprise Splunk utilisant plusieurs serveurs MID
    Plusieurs serveurs MID.