Configurez votre Now Platform instance pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • La section suivante répertorie les tâches de configuration que vous devez effectuer dans votre Now Platform® instance avant d’installer l’application à partir du ServiceNow Store.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Reportez-vous à la table suivante et vérifiez que vous avez effectué toutes les tâches répertoriées avant de télécharger et d’installer l’application afin de garantir une installation et une configuration fluides.

    Procédure

    1. Vérifiez que vous avez affecté les rôles requis Now Platform® et Réponse aux incidents de sécurité (SIR).

      Les rôles suivants sont requis pour l’installation, la configuration et l’utilisation de l’intégration dans votre Now Platform® instance.

      • Un utilisateur disposant du rôle d’administrateur Now Platform® (admin) installe l’application à partir du et lui affecte le rôle d’administrateur d’incident ServiceNow Store de sécurité (sn_si.admin).
      • Si vous souhaitez transférer des événements manuellement à partir de Splunk Enterprise cette intégration, un utilisateur disposant du Now Platform® rôle administrateur affecte un utilisateur ayant le rôle (sn_sec_splunk_v2.api_account_access) dans le Now Platform®. Ce rôle permet à un utilisateur ayant le rôle d’administrateur Splunk Enterprise d’accéder à l’API dans le qui est requis pour le Now Platform® transfert manuel d’événements pour cette intégration.

        Le rôle (sn_sec_splunk_v2.api_account_access) n’est pas requis pour l’intégration si vous ingérez automatiquement des Splunk Enterprise alertes depuis votre Now Platform® instance.

      • Un utilisateur disposant du rôle sn_si.admin supervise les tâches suivantes dans le Now Platform®:
        • Nomme, crée et modifie les profils d’alerte et d’événement.
        • Sélectionne et mappe les valeurs des alertes et des événements aux Now Platform® incidents de sécurité.
        • Prévisualise les détails de l’incident de sécurité pour plus d’exactitude avant de finaliser la configuration.
        • Planifie l’ingestion des alertes en cours.
        • Affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst).
        • Les utilisateurs disposant du sn_si.analyst travaillent sur des incidents de sécurité.

      Pour plus d’informations sur les rôles et l’affectation de rôles aux utilisateurs, reportez-vous à la section Managing roles.

    2. Vérifiez que vous utilisez la version 6.0 ou ultérieure de l’API Splunk .

      Si vous avez accès à la Splunk Enterprise console, vous avez accès à l’API requise pour cette intégration. Aucune autre configuration spéciale n’est requise pour l’API.

    3. Vérifiez que vous avez installé et configuré un serveur MID.

      Un serveur MID dans votre Now Platform® instance est requis pour se connecter au Splunk service si le Splunk serveur est déployé au sein de votre réseau d’entreprise. Pour plus d’informations sur les serveurs MID, voir Serveur MID

      Si vous utilisez le service, un serveur MID n’est Splunk Cloud pas nécessaire.

    4. Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées.

      Le Réponse aux incidents de sécurité module d’extension Dependency (com.snc.si_dep) est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications requises par l’intégration.

      Vérifiez que les applications suivantes Opérations de sécurité sont installées et activées à partir du ServiceNow Store. Si ce n’est pas le cas, installez et activez une application à la fois dans l’ordre suivant pour assurer une installation sans problème.

      1. Security Incident Response
      2. Cadre de travail d’intégration de sécurité
      3. Security Support Common
      4. Orchestration de support de sécurité

      Pour plus d’informations sur l’installation des Opérations de sécurité applications principales, reportez-vous aux sections Obtenir un droit pour un produit ou une Opérations de sécurité application et Activer une ServiceNow Store application.

    Que faire ensuite

    Vous avez correctement configuré votre Now Platform® instance pour l’intégration. L’étape suivante consiste à installer l’application Splunk Enterprise Event Ingestion à partir de pour l’intégration ServiceNow Store . Pour plus d'informations, consultez Installez et configurez l’application pour l’intégration ServiceNowSplunk Enterprise Event Ingestion.

    Pour plus d’informations, consultez la rubrique Enregistrer les recherches dans votre Splunk Enterprise console pour l’intégration Splunk Enterprise Event Ingestion « Si vous n’avez pas enregistré les recherches d’ingestion dans votre Splunk Enterprise console », ou si vous effectuez simultanément la configuration initiale de cette intégration dans votre Splunk Enterprise console et le Opérations de sécurité produit de votre Now Platform® instance.

    Si vous souhaitez exporter des événements manuellement et à la demande à partir de votre Splunk Enterprise console pour l’intégration, consultez la section Configurer le complément d’intégration d’ingestion d’événement ServiceNow pour plus d’informations.