Configurez votre Splunk environnement pour l’ingestion manuelle d’événements pour l’intégration de l’ingestion d’événements Splunk Enterprise

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • Si vous souhaitez exporter des événements manuellement et à la demande à partir de votre Splunk Enterprise console pour cette intégration, installez et configurez le ServiceNow module complémentaire Security Operations Event Ingestion pour l’application dans Splunk Enterprise votre console d’entreprise ou votre Splunk instance Splunk Cloud.

    Avant de commencer

    Vérifiez que vous avez installé l’application pour cette intégration ServiceNow Store avant d’installer le module d’extension Splunkbase requis pour l’ingestion manuelle d’événements. Si vous n’avez pas installé l’application pour l’intégration à partir de , consultez ServiceNow StoreInstaller et configurer l’application ServiceNow pour l’intégration Splunk Enterprise Event Ingestion et suivez les instructions pour l’installer.

    Rôle requis : Now Platform administrateur (admin)

    Pourquoi et quand exécuter cette tâche

    L’installation et la configuration du ServiceNow module complémentaire Security Operations Event Ingestion sont facultatives.

    Si vous souhaitez exporter des événements manuellement et à la demande à partir de votre Splunk Enterprise console pour l’intégration, téléchargez, installez et configurez le ServiceNow module complémentaire Security Operations Event Ingestion pour Splunkbase dans Splunk Enterprise votre Splunk Enterprise console.

    Ce ServiceNow module complémentaire d’extension est requis pour que les incidents de sécurité puissent être créés à partir d’événements exportés manuellement dans votre Now Platform instance. Ce ServiceNow module complémentaire d’ingestion d’événements de Security Operations pour Splunk Enterprise l’application est disponible sur splunkbase.

    Pour le transfert manuel d’événements, vous pouvez identifier jusqu’à deux points de terminaison (instances) différents Now Platform dans votre Splunk Enterprise console. Vous transférez manuellement les événements au ou aux points de terminaison pour créer des incidents de sécurité. Par exemple, vous pouvez spécifier à la fois une instance de stockage intermédiaire (développement) et une instance de production. En spécifiant des instances distinctes et en nommant des workflows primaires et secondaires pour chaque instance, vous pouvez choisir où vous souhaitez transférer les différents événements.

    Procédure

    1. Si vous n’avez pas encore installé le ServiceNow module complémentaire Security Operations Event Ingestion pour Splunk Enterprise, procédez comme suit pour l’installer et le configurer.
      1. Accédez à splunkbase.
      2. Recherchez le module complémentaire ServiceNow Opérations de sécurité Security Operations Event Ingestion for Splunk Enterprise.
        Remarque :
        Vérifiez que vous avez sélectionné ServiceNow Opérations de sécurité le module complémentaire d’ingestion d’événements pour Splunk Enterprise. Il existe d’autres ServiceNow addons qui sont affichés dans cette liste. Ces modules complémentaires sont destinés à différentes ServiceNow Splunk intégrations et ne sont pas requis pour cette intégration.
      3. Téléchargez l’application.
      4. Ouvrez votre Splunk Enterprise compte.
      5. Sur la page Applications, cliquez sur l’icône d’engrenage ou sur le raccourci Gérer les applications dans la liste déroulante du menu.
      6. Dans le coin supérieur gauche de la page Applications qui s’affiche, cliquez sur Installer l’application à partir d’un fichier.
      7. Cliquez sur Choisir un fichier, sélectionnez ServiceNow Security Operations Event Ingestion Addon pour Splunk Enterprise, puis cliquez sur Télécharger.
      8. Si vous y êtes invité, redémarrez Splunk Enterprise.
        Le module complémentaire Splunk Enterprise d’ingestion ServiceNow d’événements pour Security Operations est installé dans votre Splunk Enterprise console d’entreprise. L’étape suivante pour configurer l’Addon.
    2. Pour configurer le complément, procédez comme suit.
      1. Dans Splunk Enterprise, cliquez sur l’icône d’engrenage Applications ou sur Gérer les applications dans la liste déroulante du menu.
      2. Dans la liste des applications qui s’affiche, dans la colonne Actions , cliquez sur Configurer pour ServiceNow Opérations de sécurité le complément d’ingestion d’événements pour Splunk Enterprise.
      3. Remplissez le formulaire.
        La figure suivante est un exemple de formulaire rempli dans votre Splunk Enterprise console.
        Formulaire rempli avec paramètres de configuration pour les instances primaire et secondaire ServiceNow
      Champ dans la section Spécifier l’instance primaire ServiceNowDescription
      Étiquette de l’action de workflow Nom du workflow pour votre Now Platform instance de production (principale). Ce nom est le nom d’une Now Platform instance que les utilisateurs qui surveillent les Splunk événements identifient comme instance principale, par exemple, Servicenow Event Ingestion (Production).

      La valeur par défaut pour ce champ est Ingestion d’événements ServiceNow (production).

      Dans votre Splunk Enterprise console, ce nom de workflow s’affiche pour l’instance de production (principale) dans la liste déroulante Actions d’événement développée d’une recherche. Ce nom est le nom de votre instance de production. Vous pouvez modifier le nom.
      URL URL de l’instance Now Platform que vous avez saisie dans le champ Étiquette de l’action de workflow précédent.

      Copiez l’URL dans votre navigateur et collez-la dans ce champ du formulaire.
      Point de terminaison Chemin de l’API de base. Pour plus d’informations, reportez-vous à la figure qui suit le tableau.

      Si vous n’avez pas de valeur pour le point de terminaison de votre Now Platform instance de production, procédez comme suit.

      1. Connectez-vous à votre Now Platform instance de production en tant qu’utilisateur disposant du rôle d’administrateur système (admin).
      2. Entrez les API REST basées sur un script dans le panneau de navigation.
      3. Une fois le panneau de navigation actualisé, sélectionnez le module API REST scripté qui s’affiche.
      4. Si l’ingestion d’événement n’est pas répertoriée dans la colonne Nom de la liste API REST scriptées qui s’affiche, dans le champ de recherche en haut, saisissez l’ingestion d’événement.
      5. Dans la colonne Chemin d’accès de l’API de base sur la page actualisée, copiez cette valeur et collez-la dans le champ Point de terminaison du formulaire. Un exemple de chemin d’accès de l’API de base est /api/sn_sec_splunk_v2/event_ingestion.
      Nom d'utilisateur Nom d’utilisateur de votre Now Platform instance. Ce nom est le nom d’utilisateur de l’instance Now Platform dans laquelle vous avez affecté un utilisateur avec le rôle (sn_sec_splunk_v2.api_account_access) pour le transfert manuel d’événements.

      Pour en savoir plus sur l’affectation de ce rôle, reportez-vous à Configurer votre Now Platform instance pour l’intégration Splunk Enterprise Event Ingestion.
      Mot de passe Mot de passe de votre Now Platform instance.

      Ce mot de passe est le mot de passe de l’instance Now Platform dans laquelle vous avez affecté un utilisateur avec le rôle (sn_sec_splunk_v2.api_account_access) pour le transfert manuel d’événements.
      (Facultatif) Champs dans la section Spécifier l’instance secondaire ServiceNow Description

      Ces champs sont facultatifs. Vous n’êtes pas obligé de spécifier une instance secondaire.
      Étiquette de l’action de workflow Nom du workflow pour votre Now Platform instance secondaire (intermédiaire). Ce nom correspond au nom d’une Now Platform instance que les utilisateurs qui surveillent les Splunk événements identifient comme instance secondaire, par exemple, ServiceNow Ingestion d’événements (intermédiaire).

      Dans votre Splunk Enterprise console, ce nom de workflow s’affiche pour l’instance intermédiaire (secondaire) dans la liste déroulante Actions d’événement développée d’une recherche. Cette Now Platform instance est votre instance intermédiaire. Vous pouvez modifier le nom.
      URL URL de l’instance Now Platform que vous avez saisie dans le champ Étiquette de l’action de workflow précédent pour l’instance secondaire Now Platform .

      Copiez l’URL dans votre navigateur et collez-la dans ce champ du formulaire.
      Point de terminaison Chemin de l’API de base. Cette valeur du chemin d’accès de l’API de base pour votre instance secondaire est la même que celle du chemin de l’API de base pour votre instance primaire. Consultez la figure précédente du formulaire pour plus d’informations.
      Nom d'utilisateur Nom d’utilisateur de votre Now Platform instance de stockage intermédiaire. L’utilisateur doit disposer du rôle (sn_sec_splunk_v2.api_account_access).
      Mot de passe Mot de passe de votre Now Platform instance de stockage intermédiaire. L’utilisateur doit disposer du rôle (sn_sec_splunk_v2.api_account_access).
      La figure suivante est un exemple de la liste des API REST scriptées dans votre Now Platform. La liste affiche l’emplacement de la valeur de point de terminaison d’une Now Platform instance que vous entrez dans le formulaire dans le cadre de la configuration ServiceNow du module complémentaire Security Operations Event Ingestion pour extension dans Splunk Enterprise votre Splunk Enterprise console.
      Figure 1. Liste des API REST basées sur un script dans Now Platform
      Chemin de l’API de base mis en surbrillance.
    3. Dans le formulaire de configuration de votre Splunk Enterprise console, cliquez sur Enregistrer pour enregistrer vos modifications.

      Après quelques instants, en haut à gauche du formulaire de votre Splunk Enterprise console, un message s’affiche indiquant que l’enregistrement a été mis à jour.

      Une fois le formulaire enregistré, les noms (étiquettes d’action de workflow) de votre Now Platform ou vos instances que vous avez créées dans le formulaire sont disponibles dans la liste de choix Actions d’événement sur un événement sélectionné d’une recherche dans votre Splunk Enterprise console.

    Que faire ensuite

    Si vous n’avez pas encore enregistré les recherches dans votre Splunk Enterprise console, l’étape suivante consiste à enregistrer les recherches en tant qu’alertes dans votre Splunk Enterprise console.