Configurer ou modifier l’instance où les incidents ou les événements sont créés

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 7 minutes de lecture

    • Pour configurer ou modifier l’instance ServiceNow dans laquelle les nouveaux incidents de sécurité et événements de sécurité sont créés, utilisez l’action Configuration de la liste d’applications.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Ouvrez Splunk.
    2. Cliquez sur l’icône d’engrenage Applications ou sur l’élément de menu contextuel Gérer les applications .
    3. Dans la liste des applications, recherchez les applications ServiceNow à l’aide du filtre.
    4. Recherchez l’intégration de ServiceNow Security Operations et cliquez sur l’action Configurer correspondante.
    5. Renseignez les champs du formulaire.
      ChampDescription
      Spécifier ServiceNow Server  
      URL URL de votre console ou Splunk Cloud de votre Splunk Enterprise Security instance. L’URL doit inclure le port API, par exemple : https://mysplunkserver.com:8089
      Type d'authentification Option permettant de sélectionner le type d’authentification. Vous pouvez sélectionner Authentification de base ou Authentification OAuth 2.0.
      • Si vous utilisez le nom d’utilisateur du compte API et le mot de passe API pour la configuration, cochez la case Authentification de base.

        La valeur par défaut est désactivée.

      • Si vous utilisez l’authentification OAuth 2.0 pour la configuration, cochez la case Authentification OAuth 2.0 .

        La valeur par défaut est désactivée.
      Authentification de base  
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour votre compte utilisateur API dans la Splunk Enterprise Security console.
      Mot de passe Mot de passe que vous avez créé pour votre compte utilisateur API dans la Splunk Enterprise Security console.
      Confirmer le mot de passe Saisissez le mot de passe pour le confirmer.
      Authentification OAuth 2.0  
      ID client ID client de l’application créée sur le serveur ServiceNow.
      Secret client Secret client de l’application créée sur ServiceNow Server.
      URL de redirection L’URL vers laquelle vous souhaitez être redirigé. Vous pouvez copier et coller cette URL dans votre URL de redirection du registre ServiceNow.
      Proxy facultatif  
      Proxy URL URL proxy de votre Splunk Enterprise Security console ou Splunk Cloud instance.
      Port Adresse du port.
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour le compte proxy sur la Splunk Enterprise Security console.
      Mot de passe Mot de passe que vous avez créé pour le compte proxy sur la Splunk Enterprise Security console.
      Confirmer le mot de passe Saisissez le mot de passe pour le confirmer.
      Configuration du niveau de connexion  
      Niveau de connexion Niveau de journaux de reporting générés par l’intégration, c’est-à-dire le nom du type d’informations. Vous pouvez également mettre à jour la valeur pour les options suivantes :
      • info
      • erreur
      • avertir
      • debug

      Par défaut, la valeur est info.
      Sélection d’API  
      Sélection d’API Sélectionnez l’une des API suivantes :
      • API de table
      • API de jeu d'importation

      Intégration des opérations de sécurité ServiceNow configurée sur Splunk

    6. Cliquez sur Enregistrer.
    7. Vous pouvez également rechercher l’intégration d’ingestion d’événements ServiceNow et cliquer sur l’action Configurer correspondante.
      L’intégration de l’ingestion d’événements ServiceNow est configurée en trois onglets différents.
      • Splunk primaire : configuration Splunk principale ou par défaut.
      • Splunk secondaire : (facultatif) la configuration de sauvegarde ou de deuxième Splunk.
      • Niveau de connexion : niveau des journaux de rapports générés par l’intégration, c’est-à-dire le nom du type d’informations.
    8. Sélectionnez l’onglet Splunk Primaire .
    9. Renseignez les champs du formulaire.
      ChampDescription
      Étiquette de l’action de workflow

      Nom de la Splunk Enterprise Security console primaire ou de l’instance Splunk Cloud primaire utilisée pour l’intégration.

      Les espaces sont pris en charge pour les noms, mais les parenthèses ne sont pas prises en charge. Par exemple, saisissez SplunkES2.
      URL URL de votre Splunk Enterprise Security console primaire ou de votre Splunk Cloud instance primaire. L’URL doit inclure le port API, par exemple : https://mysplunkserver.com:8089
      Point de terminaison Point de terminaison de votre Splunk Enterprise Security console primaire ou de votre Splunk Cloud instance primaire.
      Type d'authentification Option permettant de sélectionner le type d’authentification. Vous pouvez sélectionner Authentification de base ou Authentification OAuth 2.0.
      • Si vous utilisez le nom d’utilisateur du compte API et le mot de passe API pour la configuration, cochez la case Authentification de base.

        La valeur par défaut est désactivée.

      • Si vous utilisez l’authentification OAuth 2.0 pour la configuration, cochez la case Authentification OAuth 2.0 .

        La valeur par défaut est désactivée.
      Authentification de base  
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour votre compte utilisateur API dans la Splunk Enterprise Security console.
      Mot de passe Mot de passe que vous avez créé pour votre compte utilisateur API dans la Splunk Enterprise Security console.
      Confirmer le mot de passe Saisissez le mot de passe pour le confirmer.
      Authentification OAuth 2.0  
      ID client ID client de l’application créée sur le serveur ServiceNow. Pour en savoir plus sur l’obtention de l’ID client, reportez-vous à la section Configurer le registre d’application sur l’instance ServiceNow
      Secret client Secret client de l’application créée sur le serveur. Pour plus d’informations sur la façon d’obtenir le secret client, consultez Configurer le registre d’application sur l’instance ServiceNow
      URL de redirection L’URL vers laquelle vous souhaitez être redirigé. Vous pouvez copier et coller cette URL dans votre URL de redirection du registre ServiceNow. Pour plus d’informations, voir Configurer le registre d’application sur l’instance ServiceNow
      Configuration de proxy facultative  
      Proxy URL URL proxy de votre console secondaire ou Splunk Cloud de votre Splunk Enterprise Security instance secondaire.
      Port Adresse du port.
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour le compte proxy sur la Splunk Enterprise Security console secondaire.
      Mot de passe Mot de passe que vous avez créé pour le compte proxy sur la Splunk Enterprise Security console secondaire.
      Confirmer le mot de passe Saisissez le mot de passe pour le confirmer.

      Intégration d’ingestion d’événements ServiceNow configurée sur Splunk

    10. Facultatif : Sélectionnez l’onglet Splunk Second .
    11. Facultatif : Renseignez les champs du formulaire.
      ChampDescription
      Étiquette de l’action de workflow

      Nom de la Splunk Enterprise Security console secondaire ou de l’instance Splunk Cloud secondaire utilisée pour l’intégration.

      Les espaces sont pris en charge pour les noms, mais les parenthèses ne sont pas prises en charge. Par exemple, saisissez SplunkES2.
      URL URL de votre Splunk Enterprise Security console secondaire ou de l’instance Splunk Cloud secondaire. L’URL doit inclure le port API, par exemple : https://mysplunkserver.com:8089
      Point de terminaison Point de terminaison de votre console secondaire ou de l’instance Splunk Enterprise SecuritySplunk Cloud secondaire.
      Type d'authentification Option permettant de sélectionner le type d’authentification. Vous pouvez sélectionner Authentification de base ou Authentification OAuth 2.0.
      • Si vous utilisez le nom d’utilisateur du compte API et le mot de passe API pour la configuration, cochez la case Authentification de base.

        La valeur par défaut est désactivée.

      • Si vous utilisez l’authentification OAuth 2.0 pour la configuration, cochez la case Authentification OAuth 2.0 .

        La valeur par défaut est désactivée.
      Authentification de base  
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour votre compte utilisateur API dans la Splunk Enterprise Security console.
      Mot de passe Mot de passe que vous avez créé pour votre compte utilisateur API dans la Splunk Enterprise Security console.
      Confirmer le mot de passe Saisissez le mot de passe pour le confirmer.
      Authentification OAuth 2.0  
      ID client ID client de l’application créée sur le serveur ServiceNow.
      Secret client Secret client de l’application créée sur ServiceNow Server.
      URL de redirection L’URL vers laquelle vous souhaitez être redirigé. Vous pouvez copier et coller cette URL dans votre URL de redirection du registre ServiceNow.
      Configuration de proxy facultative  
      Proxy URL URL proxy de votre console secondaire ou Splunk Cloud de votre Splunk Enterprise Security instance secondaire.
      Port Adresse du port.
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour le compte proxy sur la Splunk Enterprise Security console secondaire.
      Mot de passe Mot de passe que vous avez créé pour le compte proxy sur la Splunk Enterprise Security console secondaire.
      Confirmer le mot de passe Saisissez le mot de passe pour le confirmer.
    12. Sélectionnez l’onglet Niveau de connexion .
    13. Renseignez les champs du formulaire.
      ChampDescription
      Niveau de journal Niveau de journaux de reporting générés par l’intégration, c’est-à-dire le nom du type d’informations. Vous pouvez également mettre à jour la valeur pour les options suivantes :
      • info
      • erreur
      • avertir
      • debug

      Par défaut, la valeur est info.
    14. Cliquez sur Enregistrer.
      Une fois la validation terminée, la page Intégrations de sécurité s’affiche avec chacune de vos configurations. Sur chaque vignette de configuration valide, les boutons Mettre à jour et Supprimer sont affichés, comme illustré dans la figure suivante.
      Remarque :
      Vous devez utiliser soit l’authentification de base, soit l’authentification OAuth 2.0 uniquement. Activez l’une des authentifications et saisissez les détails d’authentification correspondants. L’activation des deux affichera une erreur.

      Une fois validée et soumise, chaque configuration du serveur d’ingestions d’événements Splunk est enregistrée sous forme de vignette dans la page Intégrations de sécurité. Si vos vignettes de configuration enregistrées ne s’affichent pas sur la page Intégrations de sécurité, dans le coin supérieur droit de la page, dans la liste Afficher les configurations, cliquez sur Oui.