Liste de vérification pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Utilisez cette liste de vérification pour vous guider à travers toutes les tâches de l’intégration. La liste de vérification suivante comprend des tâches de configuration et d’installation ainsi que des exemples de cas d’utilisation qui incluent les résultats attendus pour l’intégration.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Suivez votre progression avec l’installation, l’installation et la configuration de l’intégration avec la table suivante. Terminez toutes les tâches d’une étape avant de passer à l’étape suivante. Chaque ligne de la table répertorie les tâches et identifie les rôles requis pour effectuer les tâches. Les rubriques numérotées du guide d’installation et de configuration sont également référencées.

    Rôles requis : les rôles sont répertoriés pour chaque étape ci-dessous.

    Procédure

    1. En tant qu’utilisateur disposant du rôle d’administrateur ServiceNow AI Platform , configurez votre ServiceNow AI Platform instance.
      • Affectez aux utilisateurs les rôles sn_si.ingestion_profile_admin (ou sn_si.admin) et sn_si.analyst selon les besoins.
      • Installez et configurez un serveur MID si le Splunk serveur est déployé dans votre réseau d’entreprise.
      • Vérifiez que les modules d’extension ServiceNow Réponse aux incidents de sécurité sont activés pour votre version du ServiceNow AI Platform.
      • Si vous souhaitez transférer manuellement des événements de votre Splunk Enterprise console vers votre ServiceNow AI Platform instance, vérifiez que vous avez affecté le rôle (sn_sec_splunk_v2.api_account_access) à un utilisateur disposant de l’autorisation d’administrateur Splunk Enterprise d’entreprise.

      Pour plus d'informations, consultez Configurer votre ServiceNow AI Platform instance pour l’intégration Splunk Enterprise Event Ingestion.

      Vous avez terminé avec succès les étapes de configuration et vérifié les résultats attendus pour l’intégration.
    2. En tant qu’utilisateur disposant du ServiceNow AI Platform rôle administrateur, installez et configurez l’application Splunk Enterprise Event Ingestion à partir du ServiceNow Store.
      1. Téléchargez et installez l’application sur votre ServiceNow AI Platform instance.
      2. Configurez l’application et connectez-vous à votre Splunk Enterprise console.

      Pour plus d'informations, consultez Installez et configurez l’application ServiceNow pour l’intégration Splunk Enterprise Event Ingestion.

    3. Facultatif : Si vous avez l’intention d’exporter des événements manuellement de votre Splunk Enterprise console vers votre ServiceNow AI Platform instance, effectuez les tâches suivantes :
      1. En tant qu’administrateur Splunk Enterprise , installez, configurez et activez le ServiceNow module complémentaire Security Operations Event Ingestion for Splunk Enterprise à partir de splunkbase dans votre Splunk Enterprise console.
      2. En tant qu’administrateur Splunk Enterprise , si ce n’est pas déjà fait, enregistrez les recherches en tant qu’alertes dans votre Splunk Enterprise console.

        Pour plus d'informations, consultez Configurer votre Splunk environnement pour l’ingestion manuelle d’événements pour l’intégration de l’ingestion d’événements Splunk Enterprise et Enregistrer les recherches pour l’intégration dans votre Splunk EnterpriseSplunk Enterprise Event Ingestion console.

    4. En tant qu’utilisateur disposant du rôle ServiceNow AI Platform sn_si.ingestion_profile_admin , créez et nommez un profil d’événement.

      Sélectionnez le type de profil dans la liste de choix. Les options sont un profil d’alerte planifiée que vous utilisez pour ingérer des exemples de données ou un profil d’événement que vous utilisez pour exporter manuellement des données de pièce jointe à partir de votre Splunk Enterprise console.

      • Pour une alerte planifiée, sélectionnez une alerte disponible.
      • Pour le profil des données exportées manuellement, créez une nouvelle carte ou copiez une carte existante.

      Pour plus d'informations, consultez Créer et nommer un profil d’événement.

    5. En tant qu’utilisateur disposant du rôle ServiceNow AI Platform sn_si.ingestion_profile_admin, mappez les valeurs ingérées ou les données de pièce jointe exportées depuis vers ServiceNow AI Platform les incidents de Splunk Enterprise sécurité.
      1. Extrayez un exemple de données pour une alerte planifiée.
      2. Exporter les données de la pièce jointe manuellement à partir d’un Splunk Enterprise événement.
      3. Modifiez la configuration de mappage par défaut.
      4. Vous pouvez éventuellement ajouter des critères de filtrage, ajouter une alerte à un incident de sécurité existant et utiliser l’éditeur de script.

      Pour plus d'informations, consultez Mappage des alertes et des événements pour l’intégration Splunk Enterprise Event Ingestion et Mapper les alertes pour l’intégration Splunk Enterprise Event Ingestion.

    6. En tant qu’utilisateur disposant du rôle ServiceNow AI Platform sn_si.ingestion_profile_admin , prévisualisez les données Splunk Enterprise affichées sur un ServiceNow AI Platform incident de sécurité.

      Corrigez les erreurs ou ajoutez les données manquantes afin qu’aucun message d’erreur ne s’affiche.

      Pour plus d'informations, consultez Prévisualiser l’incident de sécurité pour l’intégration Splunk Enterprise Event Ingestion.

    7. En tant qu’utilisateur disposant du rôle ServiceNow AI Platform sn_si.ingestion_profile_admin , planifiez la récupération d’alerte pour un profil avec une alerte planifiée.

      Pour plus d'informations, consultez Planifier et récupérer les alertes pour l’intégration Splunk Enterprise Event Ingestion.