インシデントまたはイベントが作成されるインスタンスの設定または変更

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:9分

    • 新しいセキュリティインシデントとセキュリティイベントが作成される ServiceNow インスタンスを設定または変更するには、アプリケーションリストの [セットアップ] アクションを使用します。

    始める前に

    必要なロール:sn_si.admin

    手順

    1. Splunk を開きます。
    2. [アプリ] ギアアイコンまたは [アプリケーションを管理] ショートカットメニューアイテムをクリックします。
    3. アプリケーションのリストで、フィルターを使用して ServiceNow アプリを検索します。
    4. ServiceNow Security Operations Integrations を探し、対応する [セットアップ] アクションをクリックします。
    5. フォームのフィールドに入力します。
      フィールド説明
      ServiceNow サーバーを指定  
      URL Splunk Enterprise Security コンソールまたは Splunk Cloud インスタンスの URL。URL には API ポートを含める必要があります (例:https://mysplunkserver.com:8089)。
      認証タイプ 認証タイプを選択するオプション。[ベーシック認証] または [OAuth 2.0 認証] を選択できます。
      • 設定に API アカウントユーザー名と API パスワードを使用する場合は、[基本認証] チェックボックスをオンにします

        デフォルトでは無効になっています。

      • 設定に OAuth 2.0 認証を使用する場合は、[OAuth 2.0 認証] チェック ボックスをオンにします。

        デフォルトでは無効になっています。
      ベーシック認証  
      ユーザー名 Splunk Enterprise Security コンソールで API ユーザーアカウント用に作成したユーザー名。
      パスワード Splunk Enterprise Security コンソールで API ユーザーアカウント用に作成したパスワード。
      パスワードの確認 パスワードを再入力して確認します。
      OAuth 2.0 認証  
      クライアント ID ServiceNow サーバーで作成されたアプリのクライアント ID。
      クライアントシークレット ServiceNow サーバーで作成されたアプリのクライアントシークレット。
      リダイレクト URL リダイレクト先の URL。この URL をコピーして ServiceNow レジストリのリダイレクト URL に貼り付けることができます。
      オプションのプロキシ  
      プロキシ URL Splunk Enterprise Security コンソールまたは Splunk Cloud インスタンスのプロキシ URL。
      ポート ポートのアドレス。
      ユーザー名 Splunk Enterprise Security コンソールでプロキシアカウント用に作成したユーザー名。
      パスワード Splunk Enterprise Security コンソールでプロキシアカウント用に作成したパスワード。
      パスワードの確認 パスワードを再入力して確認します。
      ログレベルのセットアップ  
      ログ記録レベル 統合で生成されたレポートログのレベル (情報のタイプの名前)。値を次のオプションに更新することもできます。
      • info
      • error
      • warn
      • debug

      デフォルト値は info です。
      API 選択  
      API 選択 次のいずれかの API を選択します。
      • テーブル API
      • インポートセット API

      Splunk での ServiceNow Security Operations Integrations の設定

    6. [保存] をクリックします。
    7. または、「ServiceNow Event Ingestion Integration」を探し、対応する [セットアップ] アクションをクリックします。
      ServiceNow Event Ingestion Integration は、3 つの異なるタブで構成されています。
      • Splunk プライマリ:デフォルトまたはプライマリの Splunk 構成。
      • Splunk セカンダリ:(オプション) バックアップまたは 2 番目の Splunk 構成。
      • ログレベル:統合で生成されたレポートログのレベル (情報のタイプの名前)。
    8. [Splunk プライマリ] タブを選択します。
    9. フォームのフィールドに入力します。
      フィールド説明
      ワークフローアクションラベル

      統合に使用される Splunk Enterprise Security プライマリコンソールまたは Splunk Cloud プライマリインスタンスの名前。

      名前ではスペースがサポートされていますが、括弧はサポートされていません。たとえば、「SplunkES2」と入力します。
      URL Splunk Enterprise Security プライマリコンソールまたは Splunk Cloud プライマリインスタンスの URL。URL には API ポートを含める必要があります (例:https://mysplunkserver.com:8089)。
      エンドポイント Splunk Enterprise Security プライマリコンソールまたは Splunk Cloud プライマリインスタンスのエンドポイント。
      認証タイプ 認証タイプを選択するオプション。[ベーシック認証] または [OAuth 2.0 認証] を選択できます。
      • 設定に API アカウントユーザー名と API パスワードを使用する場合は、[基本認証] チェックボックスをオンにします

        デフォルトでは無効になっています。

      • 設定に OAuth 2.0 認証を使用する場合は、[OAuth 2.0 認証] チェック ボックスをオンにします。

        デフォルトでは無効になっています。
      ベーシック認証  
      ユーザー名 Splunk Enterprise Security コンソールで API ユーザーアカウント用に作成したユーザー名。
      パスワード Splunk Enterprise Security コンソールで API ユーザーアカウント用に作成したパスワード。
      パスワードの確認 パスワードを再入力して確認します。
      OAuth 2.0 認証  
      クライアント ID ServiceNow サーバーで作成されたアプリのクライアント ID。クライアント ID を取得する方法の詳細については、「ServiceNow インスタンスでのアプリケーションレジストリの設定」を参照してください。
      クライアントシークレット サーバーで作成されたアプリのクライアントシークレット。クライアントシークレットを取得する方法の詳細については、「ServiceNow インスタンスでのアプリケーションレジストリの設定」を参照してください。
      リダイレクト URL リダイレクト先の URL。この URL をコピーして ServiceNow レジストリのリダイレクト URL に貼り付けることができます。詳細については、「ServiceNow インスタンスでのアプリケーションレジストリの設定」を参照してください。
      オプションのプロキシ設定  
      プロキシ URL Splunk Enterprise Security セカンダリコンソールまたは Splunk Cloud セカンダリインスタンスのプロキシ URL。
      ポート ポートのアドレス。
      ユーザー名 Splunk Enterprise Security セカンダリコンソールでプロキシアカウント用に作成したユーザー名。
      パスワード Splunk Enterprise Security セカンダリコンソールでプロキシアカウント用に作成したパスワード。
      パスワードの確認 パスワードを再入力して確認します。

      Splunk での ServiceNow Event Ingestion Integration の設定

    10. オプション: [Splunk セカンダリ] タブを選択します。
    11. オプション: フォームのフィールドに入力します。
      フィールド説明
      ワークフローアクションラベル

      統合に使用される Splunk Enterprise Security セカンダリコンソールまたは Splunk Cloud セカンダリインスタンスの名前。

      名前ではスペースがサポートされていますが、括弧はサポートされていません。たとえば、「SplunkES2」と入力します。
      URL Splunk Enterprise Security セカンダリコンソールまたは Splunk Cloud セカンダリインスタンスの URL。URL には API ポートを含める必要があります (例:https://mysplunkserver.com:8089)。
      エンドポイント Splunk Enterprise Security セカンダリコンソールまたは Splunk Cloud セカンダリインスタンスのエンドポイント。
      認証タイプ 認証タイプを選択するオプション。[ベーシック認証] または [OAuth 2.0 認証] を選択できます。
      • 設定に API アカウントユーザー名と API パスワードを使用する場合は、[基本認証] チェックボックスをオンにします

        デフォルトでは無効になっています。

      • 設定に OAuth 2.0 認証を使用する場合は、[OAuth 2.0 認証] チェック ボックスをオンにします。

        デフォルトでは無効になっています。
      ベーシック認証  
      ユーザー名 Splunk Enterprise Security コンソールで API ユーザーアカウント用に作成したユーザー名。
      パスワード Splunk Enterprise Security コンソールで API ユーザーアカウント用に作成したパスワード。
      パスワードの確認 パスワードを再入力して確認します。
      OAuth 2.0 認証  
      クライアント ID ServiceNow サーバーで作成されたアプリのクライアント ID。
      クライアントシークレット ServiceNow サーバーで作成されたアプリのクライアントシークレット。
      リダイレクト URL リダイレクト先の URL。この URL をコピーして ServiceNow レジストリのリダイレクト URL に貼り付けることができます。
      オプションのプロキシ設定  
      プロキシ URL Splunk Enterprise Security セカンダリコンソールまたは Splunk Cloud セカンダリインスタンスのプロキシ URL。
      ポート ポートのアドレス。
      ユーザー名 Splunk Enterprise Security セカンダリコンソールでプロキシアカウント用に作成したユーザー名。
      パスワード Splunk Enterprise Security セカンダリコンソールでプロキシアカウント用に作成したパスワード。
      パスワードの確認 パスワードを再入力して確認します。
    12. [ログレベル] タブを選択します。
    13. フォームのフィールドに入力します。
      フィールド説明
      ログレベル 統合で生成されたレポートログのレベル (情報のタイプの名前)。値を次のオプションに更新することもできます。
      • info
      • error
      • warn
      • debug

      デフォルト値は INFO です。
    14. [保存] をクリックします。
      検証が正常に完了すると、各構成を含む [セキュリティ統合] ページが表示されます。次の図に示すように、有効な各構成タイルに [更新] および [削除] ボタンが表示されます。
      注:
      ベーシック認証または OAuth 2.0 認証のいずれかのみを使用する必要があります。いずれかの認証を有効にし、対応する認証の詳細を入力します。両方を有効にすると、エラーが表示されます。

      検証と送信が正常に完了すると、各 [イベントの取り込み] の Splunk サーバー構成は [セキュリティ統合] ページにタイルとして保存されます。保存された構成タイルが右上隅にある [セキュリティ統合] ページに表示されていない場合、[構成を表示] リストから [はい] をクリックします。