Enregistrer les recherches d’intégration Splunk Enterprise Event Ingestion dans votre Splunk Enterprise console

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Les étapes suivantes pour enregistrer les recherches dans votre Splunk Enterprise console sont fournies pour un utilisateur disposant du Splunk Enterprise rôle administrateur.

    Avant de commencer

    Si vous avez déjà des recherches enregistrées et des alertes déclenchées dans votre Splunk Enterprise console, vous n’êtes pas tenu de modifier ces recherches pour cette intégration.

    L’intégration du produit au service de notification d’événement extrait les Now Platform® Security Operations informations d’événement et d’alerte de Splunk.Splunk

    Avant d’ingérer des alertes dans votre Security Operations environnement, configurez les recherches dans votre Splunk Enterprise console afin d’extraire automatiquement les événements de sécurité pertinents que Splunk Enterprise vous souhaitez enregistrer en tant qu’alertes.

    Si vous n’avez pas enregistré de recherches et si vous n’avez pas déclenché d’alertes de notification lorsque des événements de sécurité importants se produisent dans votre Splunk Enterprise console, procédez comme suit pour enregistrer les recherches.

    Rôle requis : Splunk Enterprise admin

    Procédure

    1. Connectez-vous à votre compte Splunk Enterprise.
    2. Cliquez sur l’onglet Rechercher .
    3. Dans le champ Nouvelle recherche qui s’affiche, saisissez une valeur pour l’alerte, par exemple Programme malveillant.
    4. Pour afficher les événements associés à votre recherche, à droite du champ Nouvelle recherche, cliquez sur l’icône de recherche ou appuyez sur Entrée.
      Les résultats de la recherche avec les événements sont affichés.
    5. Pour enregistrer la recherche sous forme d’alerte, développez la liste de choix Enregistrer sous en haut à droite de la page, puis sélectionnez Alerte.
    6. Renseignez les champs du formulaire qui s’affiche.
      ChampDescription
      Titre Nom descriptif de l’alerte, par exemple, Événements de programme malveillant. Une fois que vous avez enregistré cette recherche en tant qu’alerte, les événements d’une alerte déclenchée dans le Splunk service sont automatiquement traités en alertes déclenchées à l’aide de ces données de recherche. Ce titre d’alerte déclenchée est utilisé dans le profil d’événement que vous créez dans votre Now Platform instance pour identifier les événements qui sont ingérés dans votre instance pour Now Platform® Réponse aux incidents de sécurité SIR la création d’incidents de sécurité.
      (Facultatif) Description Texte pour vous aider à distinguer cette alerte des autres alertes.
      Type d'alerte Dans les champs qui s’affichent, sélectionnez Planifié pour rechercher cette alerte dans un calendrier, ou Temps réel pour rechercher cette alerte en continu.
      Résultats du déclencheur Vous préférez peut-être définir l’une des conditions de filtre suivantes :
      • Le nombre de résultats est supérieur ou inférieur à
      • Unique (une fois) pour chaque résultat
      Actions de déclencheurs Ajoutez des actions pour déclencher cette alerte. Développez la liste Ajouter un choix et cliquez sur Ajouter aux alertes déclenchées pour qu’elle s’affiche sur le formulaire. Vous préférerez peut-être ce paramètre pour les alertes que vous ingérez dans votre Now Platform instance.
    7. Cliquez sur Enregistrer.
      Votre alerte est enregistrée et s’affiche sous l’onglet Alertes de la page de recherche.
      Le Splunk service extrait les événements en faisant correspondre les critères que vous avez configurés dans l’alerte. Il met en cache les événements, puis vous demandez ces événements à partir des profils que vous configurez dans votre Now Platform instance. Étant donné que l’ingestion par pull d’événements se produit à partir d’un cache du Splunk service, cette ingestion de votre Now Platform part n’a pas d’impact sur les performances de votre Splunk plateforme.

    Que faire ensuite

    Vous avez terminé avec succès la configuration requise pour l’intégration dans votre Splunk Enterprise console. Si vous n’avez pas encore installé l’application pour l’intégration à partir de , ServiceNow Storel’étape suivante consiste à installer l’application pour l’intégration et à la configurer.