Configurer ou changer l’instance où les incidents ou les événements sont créés

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 7 minutes de lecture

    • Pour configurer ou modifier l’instance où les ServiceNow nouveaux incidents de sécurité et événements de sécurité sont créés, utilisez l’action Configurer dans la liste des applications.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Ouvrez Splunk.
    2. Cliquez sur l’icône Engrenage des applications ou sur l’élément de menu contextuel Gérer les applications .
    3. Dans la liste des applications, recherchez des applications ServiceNow à l’aide du filtre.
    4. Recherchez ServiceNow Security Operations Integration et cliquez sur l’action de configuration correspondante.
    5. Renseignez les champs du formulaire.
      ChampDescription
      Spécifier le serveur ServiceNow  
      URL URL de votre Splunk Enterprise Security console ou Splunk Cloud instance. L’URL doit inclure le port de l’API, par exemple : https://mysplunkserver.com:8089
      Type d'authentification Option permettant de sélectionner le type d’authentification. Vous pouvez sélectionner Authentification de base ou Authentification OAuth 2.0.
      • Si vous utilisez le nom d’utilisateur du compte API et le mot de passe de l’API pour la configuration, cochez la case Authentification de base.

        Désactivé par défaut.

      • Si vous utilisez l’authentification OAuth 2.0 pour la configuration, cochez la case Authentification OAuth 2.0 .

        Désactivé par défaut.
      Authentification de base  
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour votre compte d’utilisateur d’API sur la Splunk Enterprise Security console.
      Mot de passe Mot de passe que vous avez créé pour votre compte d’utilisateur d’API sur la Splunk Enterprise Security console.
      Confirmer le mot de passe Entrez le mot de passe pour le confirmer.
      Authentification OAuth 2.0  
      ID client ID client de l’application créée sur le serveur ServiceNow.
      Secret client Secret client de l’application créée sur le serveur ServiceNow.
      URL de redirection L’URL vers laquelle vous serez redirigé. Vous pouvez copier et coller cette URL dans l’URL de redirection de votre registre ServiceNow.
      Proxy facultatif  
      Proxy URL URL proxy de votre Splunk Enterprise Security console ou Splunk Cloud instance.
      Port Adresse du port.
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour le compte proxy sur la Splunk Enterprise Security console.
      Mot de passe Mot de passe que vous avez créé pour le compte proxy sur la Splunk Enterprise Security console.
      Confirmer le mot de passe Entrez le mot de passe pour le confirmer.
      Configuration du niveau de connexion  
      Niveau de connexion Niveau des journaux de génération de rapports générés par l’intégration, c’est-à-dire le nom du type d’information. Vous pouvez également mettre à jour la valeur dans les options suivantes :
      • info
      • erreur
      • avertir
      • debug

      Par défaut, la valeur est info.
      Sélection d’API  
      Sélection d’API Sélectionnez l’une des API suivantes :
      • API de table
      • API de jeu d'importation

      Intégration des opérations de sécurité ServiceNow configurée sur Splunk

    6. Cliquez sur Enregistrer.
    7. Vous pouvez également rechercher l’intégration d’ingestion d’événements ServiceNow et cliquer sur l’action de configuration correspondante.
      L’intégration d’ingestion d’événements ServiceNow est configurée en trois onglets différents.
      • Splunk primaire : configuration Splunk par défaut ou principale.
      • Splunk secondaire : (facultatif) la sauvegarde ou la deuxième configuration Splunk.
      • Niveau de connexion : niveau des journaux de génération de rapports générés par l’intégration, c’est-à-dire le nom du type d’information.
    8. Sélectionnez l’onglet primaire de Splunk .
    9. Renseignez les champs du formulaire.
      ChampDescription
      Étiquette de l’action du workflow

      Nom de la Splunk Enterprise Security console principale ou de l’instance Splunk Cloud principale utilisée pour l’intégration.

      Les espaces sont pris en charge pour les noms, mais les parenthèses ne sont pas prises en charge. Par exemple, entrez SplunkES2.
      URL URL de votre Splunk Enterprise Security console principale ou de l’instance Splunk Cloud principale. L’URL doit inclure le port de l’API, par exemple : https://mysplunkserver.com:8089
      Point de terminaison Point de terminaison de votre Splunk Enterprise Security console principale ou de l’instance Splunk Cloud principale.
      Type d'authentification Option permettant de sélectionner le type d’authentification. Vous pouvez sélectionner Authentification de base ou Authentification OAuth 2.0.
      • Si vous utilisez le nom d’utilisateur du compte API et le mot de passe de l’API pour la configuration, cochez la case Authentification de base.

        Désactivé par défaut.

      • Si vous utilisez l’authentification OAuth 2.0 pour la configuration, cochez la case Authentification OAuth 2.0 .

        Désactivé par défaut.
      Authentification de base  
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour votre compte d’utilisateur d’API sur la Splunk Enterprise Security console.
      Mot de passe Mot de passe que vous avez créé pour votre compte d’utilisateur d’API sur la Splunk Enterprise Security console.
      Confirmer le mot de passe Entrez le mot de passe pour le confirmer.
      Authentification OAuth 2.0  
      ID client ID client de l’application créée sur le serveur ServiceNow. Pour en savoir plus sur l’obtention de l’ID client, consultez Configurer le registre d’application sur l’instance ServiceNow
      Secret client Secret client de l’application créée sur le serveur. Pour plus d’informations sur l’obtention du secret client, voir Configurer le registre d’application sur l’instance ServiceNow
      URL de redirection L’URL vers laquelle vous serez redirigé. Vous pouvez copier et coller cette URL dans l’URL de redirection de votre registre ServiceNow. Pour plus d’informations, voir Configurer le registre d’application sur l’instance ServiceNow
      Configuration de proxy facultative  
      Proxy URL URL proxy de votre Splunk Enterprise Security console secondaire ou Splunk Cloud instance secondaire.
      Port Adresse du port.
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour le compte proxy sur la Splunk Enterprise Security console secondaire.
      Mot de passe Mot de passe que vous avez créé pour le compte Proxy sur la Splunk Enterprise Security console secondaire.
      Confirmer le mot de passe Entrez le mot de passe pour le confirmer.

      Intégration d’ingestion d’événements ServiceNow configurée sur Splunk

    10. Facultatif : Sélectionnez l’onglet secondaire Splunk .
    11. Facultatif : Renseignez les champs du formulaire.
      ChampDescription
      Étiquette de l’action du workflow

      Nom de la console secondaire ou de l’instance Splunk Enterprise SecuritySplunk Cloud secondaire utilisée pour l’intégration.

      Les espaces sont pris en charge pour les noms, mais les parenthèses ne sont pas prises en charge. Par exemple, entrez SplunkES2.
      URL URL de votre Splunk Enterprise Security console secondaire ou de l’instance Splunk Cloud secondaire. L’URL doit inclure le port de l’API, par exemple : https://mysplunkserver.com:8089
      Point de terminaison Point de terminaison de votre Splunk Enterprise Security console secondaire ou de l’instance Splunk Cloud secondaire.
      Type d'authentification Option permettant de sélectionner le type d’authentification. Vous pouvez sélectionner Authentification de base ou Authentification OAuth 2.0.
      • Si vous utilisez le nom d’utilisateur du compte API et le mot de passe de l’API pour la configuration, cochez la case Authentification de base.

        Désactivé par défaut.

      • Si vous utilisez l’authentification OAuth 2.0 pour la configuration, cochez la case Authentification OAuth 2.0 .

        Désactivé par défaut.
      Authentification de base  
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour votre compte d’utilisateur d’API sur la Splunk Enterprise Security console.
      Mot de passe Mot de passe que vous avez créé pour votre compte d’utilisateur d’API sur la Splunk Enterprise Security console.
      Confirmer le mot de passe Entrez le mot de passe pour le confirmer.
      Authentification OAuth 2.0  
      ID client ID client de l’application créée sur le serveur ServiceNow.
      Secret client Secret client de l’application créée sur le serveur ServiceNow.
      URL de redirection L’URL vers laquelle vous serez redirigé. Vous pouvez copier et coller cette URL dans l’URL de redirection de votre registre ServiceNow.
      Configuration de proxy facultative  
      Proxy URL URL proxy de votre Splunk Enterprise Security console secondaire ou Splunk Cloud instance secondaire.
      Port Adresse du port.
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour le compte proxy sur la Splunk Enterprise Security console secondaire.
      Mot de passe Mot de passe que vous avez créé pour le compte Proxy sur la Splunk Enterprise Security console secondaire.
      Confirmer le mot de passe Entrez le mot de passe pour le confirmer.
    12. Sélectionnez l’onglet Niveau de connexion .
    13. Renseignez les champs du formulaire.
      ChampDescription
      Niveau de journal Niveau des journaux de génération de rapports générés par l’intégration, c’est-à-dire le nom du type d’information. Vous pouvez également mettre à jour la valeur dans les options suivantes :
      • info
      • erreur
      • avertir
      • debug

      Par défaut, la valeur est info.
    14. Cliquez sur Enregistrer.
      Une fois la validation terminée, la page Intégrations de sécurité s’affiche avec chacune de vos configurations. Sur chaque vignette de configuration valide, les boutons Mettre à jour et Supprimer s’affichent, comme illustré dans la figure suivante.
      Remarque :
      Vous devez utiliser uniquement l’authentification de base ou l’authentification OAuth 2.0. Activez l’une des authentifications et saisissez les détails de l’authentification correspondants. L’activation des deux affichera une erreur.

      Une fois validée et soumise, chaque configuration de serveur d’ingestions d’événements est enregistrée sur la page Intégrations Splunk de sécurité sous forme de tuile. Si vos vignettes de configuration enregistrées ne sont pas affichées sur la page Intégrations de sécurité, dans le coin supérieur droit de la page, dans la liste Afficher les configurations, cliquez sur Oui.