Splunk Enterprise Security 注目イベントの取り込み統合のインストールと構成

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:4分

    • ServiceNow AI Platform® インスタンスで統合を実行する前に、これらのインストールと構成のステップを完了して、ServiceNow AI Platform® インスタンスでアプリケーションが セキュリティインシデントレスポンスセキュリティオペレーション 製品と適切に統合されるようにします。

    始める前に

    必要なロール:ess_analyst

    Splunk ES でセキュリティアナリスト (ess_analyst) ユーザーロールをアサインして、Splunk サーバーで統合関連のすべてのアクティビティを実行します。

    手順

    1. ServiceNow Store から統合用の Splunk Enterprise Security イベントの取り込みアプリケーションをインストールしていない場合は、「セキュリティオペレーション 統合のインストール」を参照し、ステップに従ってインストールしてください。
    2. アプリケーションのインストールが完了したら、 統合 > 統合構成 をクリックし、[ Splunk イベントの取り込み] タイルを見つけます。
    3. アプリケーションを設定するには、[新規] をクリックします。

      [Splunk イベントの取り込み] タイル
    4. または、[構成] ボタンがタイルに表示されている場合は、そのボタンをクリックして既存の構成を編集します。
    5. 表示される [イベントの取り込み構成] ダイアログで、フィールドに入力します。
      フィールド説明
      名前 統合に使用される Splunk Enterprise Security コンソールまたは Splunk Cloud インスタンスの名前。

      名前ではスペースがサポートされていますが、括弧はサポートされていません。たとえば、「SplunkES2」と入力します。
      Splunk API のベース URL Splunk Enterprise Security コンソールまたは Splunk Cloud インスタンスの URL。URL には API ポートを含める必要があります (例:https://mysplunkserver.com:8089)。
      ベーシック認証 デフォルトでは無効になっています。

      構成に API アカウントユーザー名と API パスワードを使用する場合は、チェックボックスをオンにします。
      API アカウントユーザー名 Splunk Enterprise Security コンソールで API ユーザーアカウント用に作成したユーザー名。
      API パスワード Splunk Enterprise Security コンソールで API ユーザーアカウント用に作成したパスワード。
      トークンベース (バージョン 12.0.0 から利用可能) Splunk Enterprise Security コンソールで API ユーザーアカウント用に作成したトークン。
      トークン Splunk Enterprise Security コンソールで API ユーザーアカウント用に作成したトークン。
      オンプレミス展開 デフォルトでは無効になっています。

      Splunk Enterprise Security のオンプレミスベースバージョンを使用している場合は、このチェックボックスがオンになっていることを確認します。
      MID サーバー 環境で設定する特定の MID サーバーを選択するオプション。選択した MID サーバーは、注目イベントを ServiceNow にプルするためにこの統合により使用されます。
      リストから特定の MID サーバーを選択するか、[任意] を選択して、リストからこの統合に対して有効な MID サーバーの自動選択を有効にすることができます。
      注:
      • この構成で選択された MID サーバーは、この統合全体に適用されます。
      • このリストには、アクティブで検証済みの MID サーバーのみが表示されます。デフォルト値は [任意] に設定されています。

      たとえば、3 つの MID サーバー A、B、C があるとします。[任意] を選択すると、これらの MID サーバーのいずれかが自動的に選択され、この統合全体に適用されます。特定の MID サーバ、たとえば C を選択すると、選択した MID サーバー C がこの統合全体に適用されます。

      MID サーバーを変更する場合は、[アプリ構成] タイルから再構成する必要があります。
      次の図は、MID サーバーを使用したオンプレミスバージョンの Splunk Enterprise Security 構成用の完成したフォームの例です。
      Splunk イベントの取り込み

      Splunk Enterprise Security インシデントレビューコンソールから取り込む各 Splunk Enterprise Security 注目イベントタイプには、ServiceNow AI Platform® インスタンス内に一意のイベントプロファイルが必要です。[イベントの取り込み構成] フォームで構成したソースは、各プロファイルが一意の注目イベントタイプを取り込む限り、複数の ServiceNow AI Platform® プロファイルで再利用できます。

    6. [Submit] をクリックします。
      検証が正常に完了すると、各構成を含む [セキュリティ統合] ページが表示されます。次の図に示すように、有効な各構成タイルに [更新] および [削除] ボタンが表示されます。
      注:
      ベーシック認証またはトークンベースの認証のいずれかを使用する必要があります。両方を有効にすると、次のエラーが発生します。
      Splunk イベントの取り込み構成
      注:
      既存の構成タイルをトークンベースに更新する場合は、Splunk Enterprise 設定モジュールでトークンベースの認証サポート設定の既存の Splunk ソース構成を更新するには、この設定をアクティブ化する必要があります。

      [更新]/[削除] ボタン

      検証と送信が正常に完了すると、各 [イベントの取り込み] の Splunk サーバー構成は [セキュリティ統合] ページにタイルとして保存されます。保存された構成タイルが右上隅にある [セキュリティ統合] ページに表示されていない場合、[構成を表示] リストから [はい] を選択します。

    次のタスク

    アプリケーションのインストールと設定が正常に完了しました。次のステップは、イベントプロファイルの作成です。