Splunk Enterprise Security 統合での Now Platform インスタンスの設定

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • 次のセクションでは、ServiceNow Store からアプリケーションをインストールする前に Now Platform® インスタンスで完了する必要があるセットアップタスクを示します。

    必要なロール:admin

    スムーズなインストールと構成を行うために、 アプリケーションをダウンロードしてインストールする前に、次のテーブルを参照して、リストされたすべてのタスクを完了していることを確認してください。

    1. 必要な Now Platform® および セキュリティインシデントレスポンス (SIR) のロールがアサインされていることを確認します。

      Now Platform® インスタンスで統合をインストール、セットアップ、および使用するには、次のロールが必要です。

      • Now Platform® アドミンロール (admin) を持つユーザーが ServiceNow Store からアプリケーションをインストールし、セキュリティインシデントアドミン (sn_si.admin) ロールをアサインします。
      • この統合のために Splunk Enterprise Security から手動で注目イベントを転送する場合は、Now Platform® admin ロールを持つユーザーが Now Platform®で (sn_sec_splunkes.api_account_access) ロールを持つユーザーをアサインします。このロールは、Splunk Enterprise Security アドミンロールを持つユーザーが、この統合の手動イベント転送に必要な Now Platform® の API にアクセスすることを許可します。

        Splunk Enterprise Security から Now Platform® インスタンスに自動的に注目イベントを取り込む場合、統合に (sn_sec_splunkes.api_account_access) ロールは必要ありません。

      • sn_si.admin ロールを持つユーザーは、Now Platform® で次のタスクを監督します。
        • イベントプロファイルに名前を付け、作成し、編集します。
        • Splunk Enterprise Security から値を選択し Now Platform® セキュリティインシデントにマップします。
        • 構成を確定する前に、正確性を確認するためにセキュリティインシデントの詳細をプレビューします。
        • 進行中の注目イベントの取り込みをスケジュールします。
        • SIR インシデントが作成されてクローズされたときに、注目イベントの更新を有効にします。
        • セキュリティインシデントアナリスト (sn_si.analyst) ロールをアサインします。
        • sn_si.analyst を持つユーザーは、セキュリティインシデントを処理します。

      詳細については、「Managing roles」を参照してください。

    2. Splunk ユーザーロールをアサインします。

      Splunk ES でセキュリティアナリスト (ess_analyst) ユーザーロールをアサインして、Splunk サーバーで統合関連のすべてのアクティビティを実行します。

    3. Splunk API のバージョン 7.2.6 以降を使用していることを確認します。以前のバージョンはサポートされていません。

      Splunk Enterprise Security コンソールへのアクセス権がある場合は、この統合に必要な API にアクセスできます。API に必要なその他の特別なセットアップはありません。

    4. MID サーバーがインストールおよび設定されていることを確認します。

      Splunk サーバーが企業ネットワーク内に展開されている場合、Now Platform® インスタンスの MID サーバーSplunk サービスに接続する必要があります。詳細については、「MID サーバー」を参照してください。

      Splunk Enterprise Security クラウドサービスを使用している場合、MID サーバー は必要ありません。

    5. 統合をサポートするために必要な ServiceNow コアアプリケーションがインストールされ、アクティブ化されていることを確認します。

      セキュリティインシデントレスポンス Dependency プラグイン (com.snc.si_dep) が必要です。このプラグインは、セキュリティインシデントレスポンス 製品をサポートするために必要なすべての依存関係を自動的にインストールします。統合に必要な他の Security Operations アプリケーションをインストールしてアクティブ化する前に、このプラグインをインストールしてアクティブ化します。

      次の Security Operations アプリケーションが、ServiceNow Store からインストールされ、アクティブ化されていることを確認します。インストールされていない場合は、スムーズにインストールできるように、次の順序で一度に 1 つずつアプリケーションをインストールしてアクティブ化します。

      1. セキュリティインシデントレスポンス
      2. Security Integration Framework
      3. Security Support Common

      Security Operations コアアプリケーションのインストールの詳細については、「」および「」を参照してください。

    統合のために Now Platform® インスタンスが正常に設定されました。次のステップでは、ServiceNow Store から統合用の Splunk Enterprise Security 注目イベントの取り込みアプリケーションをインストールします。詳細については、「Splunk Enterprise Security 注目イベントの取り込み統合用の ServiceNow アプリケーションのインストールと設定」を参照してください。

    統合のために Splunk Enterprise Security コンソールから手動でオンデマンドで注目イベントをエクスポートする場合、詳細については「Splunk Enterprise Security 注目イベントの取り込み統合での手動イベント取り込み用の Splunk 環境設定」を参照してください。