Splunk Integration の構成と有効化
Splunk Enrichment Integration ではログを検索し、関連するサイティング情報を追加します。
始める前に
Splunk 検索を利用する前に、ServiceNow Store でのダウンロードが必要です。
必要なロール:sn_sec_tisc.admin
- Splunk 検索統合を利用する前に、脅威インテリジェンスセキュリティセンターのプラグインをインストールしてアクティブ化する必要があります。
- Splunk や Splunk 検索を取得し、さらに Splunk インスタンスから API ベース URL、リンク URL、ユーザー名、パスワードを取得します。
手順
- 自身のインスタンスを使用して、脅威インテリジェンスセキュリティセンターにアクセスします。
- から統合をダウンロードする ServiceNow Store.
- インストールが完了したら、 ワークスペース > 脅威インテリジェンスセキュリティセンター.
- 選択 統合 > 拡張統合 > すべての統合.
-
または、 統合 > 拡張統合 > すべての統合 > サイティング検索
構成済みの統合が一連のカードとして表示されます。
- [Splunk 検索] カードで、[新しい拡張の構成] をクリックして Splunk 検索統合を構成します。
-
[新しい拡張を構成 (Configure New Enrichment)] フォームのフィールドに入力します。
表 : 1. 拡張統合 フィールド 説明 名前 サイティング検索構成の名前を入力します。 ベンダー名 ベンダーの名前。選択したベンダーの詳細がデフォルトで入力されます。例:Splunk。 統合タイプ 選択した統合のタイプ。例:「脅威のルックアップ」。 説明 Splunk Integration の説明を入力します。たとえば、「Splunk Enrichment Integration は、悪意のある可能性があるインジケーターとの関連において Splunk 展開内でログのクエリをサポートすることで、観測事象の調査をサポートします」など。 データ連携の構成 Splunk API のベース URL Splunk サイトから取得したベース URL。 リンク URL (オプション) 利用可能な場合、Splunk Web インターフェイスにリンクするリンク URL。 ユーザー名 Intel Elasticsearch のユーザー名。 パスワード Intel Elasticsearch のパスワード。 最大行数 検索する行の最大行数。 最も早い結果 (日数) 表示する最も早い結果 (日数単位)。 検索結果に生データサンプルを含める サイティング検索結果に生データのサンプルを含めるには、これを選択します。返されるデータの量は、[セキュリティインシデントレスポンス] プロパティの [生データの行数] プロパティの設定によって異なります。 オンプレミス展開 オンプレミス展開環境。 MID サーバー [任意] を選択して、 任意のアクティブな MID サーバーを使用するか、特定の MID サーバー名を選択します。 注:この統合を設定すると、ワークフローが有効になります。ワークフローを管理するには、[ワークフローエディター] に移動します。 -
[保存] をクリックします。
統合の詳細が検証されます。Splunk Integration のステータスはデフォルトで無効になっています。
- [有効化] をクリックして、Splunk Integration を有効化します。
タスクの結果
構成が完了すると、脅威インテリジェンスセキュリティセンターで観測事象のサイティング検索を実行する際に [Splunk] を選択できるようになります。