Enregistrer les recherches pour l’intégration dans votre Splunk EnterpriseSplunk Enterprise Event Ingestion console

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Les étapes suivantes pour enregistrer les recherches dans votre Splunk Enterprise console sont fournies à un utilisateur disposant du Splunk Enterprise rôle administrateur.

    Avant de commencer

    Si vous avez déjà des recherches enregistrées et des alertes déclenchées dans votre Splunk Enterprise console, vous n’êtes pas obligé de modifier ces recherches pour cette intégration.

    L’intégration du produit au Splunk service de notification d’événement extrait les informations sur les Now Platform® Opérations de sécurité événements et les alertes à partir de Splunk.

    Avant d’ingérer des alertes dans votre Opérations de sécurité environnement, configurez les recherches dans votre Splunk Enterprise console afin d’extraire automatiquement les événements de sécurité pertinents que Splunk Enterprise vous souhaitez enregistrer en tant qu’alertes.

    Si vous n’avez pas établi de recherches enregistrées et d’alertes déclenchées pour notification lorsque des événements de sécurité importants se produisent dans votre Splunk Enterprise console, procédez comme suit pour enregistrer les recherches.

    Rôle requis : Splunk Enterprise administrateur

    Procédure

    1. Connectez-vous à votre compte Splunk Enterprise.
    2. Cliquez sur l’onglet Rechercher .
    3. Dans le champ Nouvelle recherche qui s’affiche, saisissez une valeur pour l’alerte, par exemple Programme malveillant.
    4. Pour afficher les événements associés à votre recherche, cliquez sur l’icône de recherche ou appuyez sur Entrée à droite du champ Nouvelle recherche.
      Les résultats de la recherche avec les événements s’affichent.
    5. Pour enregistrer la recherche sous forme d’alerte, dans le coin supérieur droit de la page, développez la liste de choix Enregistrer sous, puis sélectionnez Alerte.
    6. Renseignez les champs du formulaire qui s’affiche.
      ChampDescription
      Titre Nom descriptif de l’alerte, par exemple Événements de programme malveillant. Une fois cette recherche enregistrée en tant qu’alerte, les événements d’une alerte déclenchée dans le Splunk service sont automatiquement traités en alertes déclenchées à l’aide de ces données de recherche. Le titre de l’alerte déclenchée est utilisé dans le profil d’événement que vous créez dans votre Now Platform instance afin d’identifier les événements qui sont ingérés dans votre instance pour Now Platform® Réponse aux incidents de sécurité SIR la création d’un incident de sécurité.
      (Facultatif) Description Texte pour vous aider à distinguer cette alerte des autres alertes.
      Type d'alerte Dans les champs qui s’affichent, sélectionnez Planifié pour rechercher cette alerte selon une planification ou En temps réel pour rechercher cette alerte en continu.
      Résultats du déclencheur Vous préférez peut-être définir l’une des conditions de filtre suivantes :
      • Le nombre de résultats est supérieur ou inférieur à
      • Unique (une fois) pour chaque résultat
      Actions de déclencheurs Ajoutez des actions pour déclencher cette alerte. Développez la liste de choix Ajouter et cliquez sur Ajouter aux alertes déclenchées afin qu’il s’affiche sur le formulaire. Vous préférerez peut-être ce paramètre pour les alertes que vous ingérez dans votre Now Platform instance.
    7. Cliquez sur Enregistrer.
      Votre alerte est enregistrée et s’affiche sous l’onglet Alertes de la page de recherche.
      Le Splunk service extrait les événements en faisant correspondre les critères que vous avez configurés dans l’alerte. Il met en cache les événements, et vous les demandez ensuite à partir de vos profils que vous configurez dans votre Now Platform instance. Étant donné que l’extraction d’ingestion des événements se produit à partir d’un cache dans le service, cette ingestion à partir de Ur Now Platform n’a pas d’impact sur les Splunk performances de votre Splunk plateforme.

    Que faire ensuite

    Vous avez terminé avec succès la configuration requise pour l’intégration dans votre Splunk Enterprise console. Si vous n’avez pas encore installé l’application pour l’intégration à partir de , ServiceNow Storel’étape suivante consiste à installer l’application pour l’intégration et à la configurer.