Splunk Enterprise Event Ingestion 統合のチェックリスト

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:5分

    • このチェックリストを使用して、統合のすべてのタスクをガイドします。次のチェックリストには、セットアップとインストールのタスク、および統合の予想される結果を含むユースケースの例が含まれています。

    始める前に

    必要なロール:admin

    このタスクについて

    次のテーブルを使用して、統合のセットアップ、インストール、および構成の進捗状況を追跡します。次のステップに進む前に、ステップのすべてのタスクを完了してください。テーブルの各行にタスクがリストされており、タスクの実行に必要なロールが特定されています。インストールおよび構成ガイドの番号付けされたトピックも参照されます。

    必要なロール:ロールは次の各ステップに記載されています。

    手順

    1. ServiceNow AI Platform アドミンロールを持つユーザーとして、ServiceNow AI Platform インスタンスを設定します。
      • 必要に応じて、 ユーザーに sn_si.ingestion_profile_admin (または sn_si.admin) および sn_si.analyst ロールをアサインします。
      • Splunk サーバーが企業ネットワーク内に展開されている場合は、MID サーバーをインストールして構成します。
      • ServiceNow セキュリティインシデントレスポンス プラグインが ServiceNow AI Platform のリリースに対して有効になっていることを確認します。
      • Splunk Enterprise コンソールから ServiceNow AI Platform インスタンスに手動でイベントを転送する場合は、Splunk Enterprise エンタープライズアドミン権限を持つユーザーに (sn_sec_splunk_v2.api_account_access) ロールが割り当てられていることを確認します。

      詳細については、「Splunk Enterprise Event Ingestion 統合での ServiceNow AI Platform インスタンスの設定」を参照してください。

      これでセットアップ手順を完了し、統合に期待される結果を検証できました。
    2. ServiceNow AI Platform アドミンロールを持つユーザーとして、ServiceNow Store から Splunk Enterprise Event Ingestion アプリケーションをインストールして設定します。
      1. ServiceNow AI Platform インスタンスにアプリケーションがダウンロードされ、インストールされます。
      2. アプリケーションを設定し、Splunk Enterprise コンソールに接続します。

      詳細については、「Splunk Enterprise Event Ingestion 統合用の ServiceNow アプリケーションのインストールと設定」を参照してください。

    3. オプション: Splunk Enterprise コンソールから ServiceNow AI Platform インスタンスにイベントを手動でエクスポートする場合は、次のタスクを実行します。
      1. Splunk Enterprise アドミニストレーターは、Splunk Enterprise コンソールで splunkbase から ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise をインストールして設定し、有効にします。
      2. Splunk Enterprise アドミニストレーターとして、まだ設定されていない場合は、Splunk Enterprise コンソールに検索をアラートとして保存します。

        詳細については、「ServiceNow Event Ingestion Integration アドオンを設定する」と「Splunk Enterprise Event Ingestion 統合での Splunk Enterprise コンソールへの検索の保存」を参照してください。

    4. ServiceNow AI Platform sn_si.ingestion_profile_admin ロールを持つユーザーとして、イベントプロファイルを作成して名前を付けます。

      選択リストからプロファイルタイプを選択します。オプションは、サンプルデータを取り込むために使用するスケジュール済みアラートプロファイル、または Splunk Enterprise コンソールから手動で添付ファイルデータをエクスポートするために使用するイベントプロファイルです。

      • スケジュール済みアラートの場合は、利用可能なアラートを選択します。
      • 手動でエクスポートされたデータのプロファイルの場合は、新しいマップを作成するか、既存のマップをコピーします。

      詳細については、「イベントプロファイルの作成と名前付け」を参照してください。

    5. ServiceNow AI Platform sn_si.ingestion_profile_admin ロールを持つユーザーとして、Splunk Enterprise からエクスポートされた値またはエクスポートされた添付ファイルデータをServiceNow AI Platformセキュリティインシデントにマッピングします。
      1. スケジュール済みアラートのサンプルデータをフェッチします。
      2. イベントの添付ファイルデータを Splunk Enterprise から手動でエクスポートします。
      3. デフォルトのマッピング構成を編集します。
      4. 必要に応じて、フィルター条件を追加し、既存のセキュリティインシデントにアラートを追加し、スクリプトエディターを使用します。

      詳細については、「Splunk Enterprise Event Ingestion 統合のアラートとイベントのマッピング」と「Splunk Enterprise Event Ingestion 統合でのアラートのマッピング」を参照してください。

    6. ServiceNow AI Platform sn_si.ingestion_profile_admin ロールを持つユーザーとして、ServiceNow AI Platformセキュリティインシデントに表示されるSplunk Enterpriseからデータをプレビューします。

      エラーを修正するか、不足しているデータを追加して、エラーメッセージが表示されないようにします。

      詳細については、「Splunk Enterprise Event Ingestion 統合のセキュリティインシデントのプレビュー」を参照してください。

    7. ServiceNow AI Platform sn_si.ingestion_profile_admin ロールを持つユーザーとして、スケジュール済みアラートがあるプロファイルのアラート取得をスケジュールします。

      詳細については、「Splunk Enterprise Event Ingestion 統合でのアラートのスケジュールおよび取得」を参照してください。