Als Anwender mit Now Platformadministratorrolle, richten Sie Ihr ein Now PlatformInstanz.

• Weisen Sie nach Bedarf Anwender mit den Rollen „sn_si.admin“ und „sn_si.Analyst“ zu.
• Installieren und konfigurieren Sie einen MID-Server, wenn SplunkServer wird in Ihrem Unternehmensnetzwerk bereitgestellt.
• Überprüfen Sie, ob ServiceNow Security Incident ResponsePlugins werden für Ihr Release von aktiviert Now Platform.
• (Optional) wenn Sie Ereignisse manuell von weiterleiten möchten Splunk Enterprise SecurityKonsole in Ihr Now PlatformInstanz: Stellen Sie sicher, dass Sie einem Anwender mit die Rolle (sn_sec_splunkes.api_account_access) zugewiesen haben Splunk Enterprise SecurityAdministratorberechtigung.

Weitere Informationen finden Sie unter Richten Sie Ihr ein Now PlatformInstanz für Splunk Enterprise SecurityIntegration.

Als Anwender mit Now Platformadministratorrolle installieren und konfigurieren Splunk Enterprise SecurityAnwendung von ServiceNow Store.

1. Laden Sie die Anwendung herunter, und installieren Sie sie auf Ihrem Now PlatformInstanz.
2. Konfigurieren Sie die Anwendung, und stellen Sie eine Verbindung mit her Splunk Enterprise SecurityKonsole.

Weitere Informationen finden Sie unter Installieren und konfigurieren Sie ServiceNowAnwendung für Splunk Enterprise SecurityIntegration der Erfassung bedeutender Ereignisse.

(Optional) wenn Sie Ereignisse manuell aus exportieren möchten Splunk Enterprise SecurityKonsole zu Ihrem Now PlatformFühren Sie die folgenden Aufgaben aus:

• Als Splunk Enterprise SecurityAdministrator, installieren, einrichten und aktivieren ServiceNowErweiterung der Ereigniserfassung für Sicherheitsvorgänge für Splunk Enterprise SecurityVon Splunkbase in Ihrem Splunk Enterprise SecurityKonsole.
• Als Splunk Enterprise SecurityAdministrator: Wenn nicht bereits konfiguriert, speichern Sie Suchen als bedeutende Ereignisse in Ihrem Splunk Enterprise SecurityKonsole.

Weitere Informationen finden Sie unter Richten Sie Ihr ein SplunkUmgebung für die manuelle Ereigniserfassung für Splunk Enterprise SecurityIntegration der Erfassung bedeutender Ereignisse.

Als Anwender mit Now Platformsn_si.admin Rolle: Erstellen und benennen Sie ein Ereignisprofil.

Wählen Sie den Profiltyp aus der Auswahlliste aus. Optionen sind ein geplantes Warnungsprofil, das Sie zum Erfassen von Beispieldaten verwenden, oder ein Ereignisprofil, das Sie zum manuellen Exportieren von Anhangsdaten aus verwenden Splunk Enterprise SecurityKonsole.

• Wählen Sie für eine geplante Warnung eine verfügbare Warnung aus.
• Erstellen Sie für ein Profil für manuell exportierte Daten eine neue Zuordnung, oder kopieren Sie eine vorhandene Zuordnung.

Weitere Informationen finden Sie unter Erstellen und benennen Sie ein Ereignisprofil für Splunk Enterprise SecurityIntegration der Ereigniserfassung.

Als Anwender mit Now PlatformRolle „sn_si.admin“, „erfasste Werte zuordnen“ oder „Anhangsdaten“, die aus exportiert werden Splunk Enterprise SecurityBis Now PlatformSecurity Incidents.

1. Ruft Beispieldaten für eine geplante Warnung ab.
2. (Optional) Exportieren Sie Anhangsdaten manuell aus Splunk Enterprise SecurityFür ein Ereignis.
3. Bearbeiten Sie die Standardzuordnungskonfiguration.
4. Fügen Sie optional Filterkriterien hinzu, fügen Sie eine Warnung an einen vorhandenen Security Incident an, und verwenden Sie den Skripteditor.

Weitere Informationen finden Sie unter Zuordnung bedeutender Ereignisfelder für Splunk Enterprise SecurityIntegration und Erstellen Sie Zuordnungen für Splunk ESÜberprüfung des Incidents bedeutender Ereignisse und Details zum beitragenden Ereignis (geplante Erfassung).

• Als Anwender mit Now Platformsn_si.admin-Rolle, zeigen Sie eine Vorschau der Daten von an Splunk EnterpriseDas auf angezeigt wird Now PlatformSecurity Incident.
• Beheben Sie Fehler, oder fügen Sie fehlende Daten hinzu, damit keine Fehlermeldungen angezeigt werden.

Weitere Informationen finden Sie unter Vorschau des Security Incidents für anzeigen Splunk Enterprise SecurityIntegration der Ereigniserfassung.