Configurer et activer l’intégration Splunk

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • L’intégration d’enrichissement de Splunk recherche vos journaux et ajoute des informations de perception pertinentes.

    Avant de commencer

    Avant de pouvoir utiliser la recherche Splunk, vous devez la télécharger à partir du ServiceNow Store.

    Rôle requis : sn_sec_tisc.admin

    • Le module d’extension Centre de sécurité des renseignements sur les menaces doit être installé et activé avant de pouvoir utiliser l’intégration de recherche Splunk.
    • Obtenez Splunk et obtenez la recherche Splunk et obtenez l’URL de base de l’API, l’URL de lien, le nom d’utilisateur et le mot de passe à partir de votre instance Splunk.

    Procédure

    1. À l’aide de votre instance, accédez au Centre de sécurité des renseignements sur les menaces.
    2. Télécharger l’intégration à partir de ServiceNow Store.
    3. Une fois l’installation terminée, accédez à Espaces de travail > Centre de sécurité des renseignements sur les menaces.
    4. Sélectionner Intégrations > Intégrations de l'enrichissement > Toutes les intégrations.
    5. Vous pouvez également accéder à Intégrations > Intégrations de l'enrichissement > Toutes les intégrations > Recherche de perception
      Les intégrations configurées apparaissent sous la forme d’une série de cartes.
    6. Dans la carte de recherche Splunk , cliquez sur Configurer un nouvel enrichissement pour configurer l’intégration dela recherche Splunk .
    7. Renseignez les champs du formulaire Configurer un nouvel enrichissement.
      Tableau 1. Intégration de l'enrichissement
      Champ Description
      Nom Entrez un nom pour la configuration de recherche de perceptions.
      Nom du fournisseur Nom du fournisseur. Les détails du fournisseur sélectionné sont renseignés par défaut. Par exemple, Splunk.
      Type d'intégration Type d’intégration que vous avez sélectionné. Par exemple, Recherche de menace.
      Description Saisissez la description de l’intégration Splunk. Par exemple, l’intégration d’enrichissement de Splunk facilite l’enquête d’un observable en prenant en charge l’interrogation des journaux dans votre déploiement Splunk en ce qui concerne les indicateurs potentiellement malveillants.
      Configuration de l’intégration
      URL de Base de l'API Splunk URL de base que vous avez acquise sur le site Splunk.
      URL de lien [Facultatif] L’URL de lien qui renvoie à l’interface Web de Splunk, le cas échéant.
      Nom d'utilisateur Votre nom d’utilisateur Intel Elasticsearch.
      Mot de passe Votre mot de passe Intel Elasticsearch.
      Lignes max. Le nombre maximal de lignes que vous souhaitez rechercher.
      Tout premier résultat (jours) Les résultats les plus récents que vous souhaitez voir, en nombre de jours.
      Inclure les exemples de données brutes dans les résultats de recherche Sélectionnez cette option pour inclure des exemples de données brutes dans vos résultats de recherche d’observations. La quantité de données renvoyées dépend de votre paramètre dans la propriété nombre de lignes de données brutes dans les propriétés de Réponse aux incidents de sécurité.
      Déploiement sur site L’environnement déployé sur site.
      Serveur MID Sélectionnez N’importe lequel pour utiliser n’importe quel serveur MID actif ou sélectionnez un nom de serveur MID spécifique.
      Remarque :
      La configuration de cette intégration active les workflows. Pour gérer les workflows, accédez à l’éditeur de workflow.
    8. Cliquez sur Enregistrer.
      Les détails de l’intégration sont validés et, par défaut, l’état de l’intégration Splunk est désactivé.
    9. Cliquez sur Activer pour activer l’intégration Splunk.

    Résultats

    Une fois configuré, Splunk peut être sélectionné pour effectuer une recherche de perception sur les observables dans Centre de sécurité des renseignements sur les menaces.