エクスポート/インポート機能を使用した Splunk Enterprise Security プロファイルのインスタンス間でのコピー

リリースバージョン: Washingtondc

更新日 2024年02月01日

読む3読むのに数分

Splunk Enterprise Security プロファイル設定を 1 つの Now Platform インスタンスから別の Now Platform インスタンスにエクスポートおよびインポートできます。

始める前に

エクスポートおよびインポートできる設定には、プロファイル名、相関ルール、マッピング、フィルター、集計基準、フィールド変換、フェッチされたサンプルデータ、スケジュール、および構成タイルソース情報が含まれます。

必要なロール：sn_si.admin

このタスクについて

この機能により、セキュリティ管理者は、ある Now Platform インスタンス (非本番など) でテストおよび検証されたプロファイルを、別の Now Platform インスタンス (本番など) にコピーできます。すべての構成設定をやり直す必要はありません。エクスポートおよびインポートされる設定には、プロファイル名、相関ルール、マッピング、フィルター、集計基準、フィールド変換、フェッチされたサンプルデータ、スケジュール、および構成タイルソース情報が含まれます。

注:

手動イベント転送プロファイルタイプをエクスポートすると、サンプルフィールドマッピングに使用される添付ファイルデータはコピーされますが、添付ファイル自体はエクスポートされません。

手順

移動先すべて > Splunk ES 統合 > Splunk ES イベントプロファイル.
別の Now Platform インスタンスにエクスポートするプロファイルを選択します。
エクスポートするプロファイルは複数選択できます。
[アクション] メニューから、[エクスポート] をクリックします。
エクスポート完了メッセージが表示されたら、[ダウンロード] をクリックします。

次の図は、Now Platform インスタンス (psand.service-now.com) からプロファイル (SplunkES3profile) をエクスポートする方法を示しています。

エクスポートされた payload.xml ファイルがコンピューターにダウンロードされます。ファイルには、プロファイル名、相関ルール、マッピング、フィルター、集計基準、フィールド変換、フェッチされたサンプルデータ、スケジュール、および構成タイルソース情報が含まれます。複数のプロファイルを選択してダウンロードすると、同じ payload.xml ファイルに表示されます。

これで、別の Now Platform インスタンスでプロファイルをインポートできます。
移動先 Splunk ES 統合 > Splunk ES イベントプロファイル.
[インポート] をクリックします。
[ファイルを選択] をクリックし、コンピューターで XML ファイルを選択します。
[アップロード] をクリックします。
[プロファイルを閉じてリロード] をクリックします。

次の図は、Now Platform インスタンス (psand.service-now.com) からプロファイル (SplunkES3profile) を Now Platform インスタンス (ppsand.service-now.com) にインポートする方法を示しています。

別の Now Platform インスタンスからプロファイルが正常にインポートされました。
エクスポートされたソース (Splunk API アカウントと Splunk サーバー URL) と MID Server 構成設定が有効で、インポートされた Now Platform インスタンスで使用できることを確認します。必要に応じて Splunk Enterprise Security 構成を更新します。
オプション: プロファイルをインポートした後、MID Server の設定を確認します。
オプション: 移動先 Security Operations > 統合設定.
オプション: Splunk Enterprise Security 構成タイルを選択し、[更新] をクリックします。
オプション: ソースおよび MID Server の詳細を確認し、必要に応じて更新します。