Splunk Enterprise Event Ingestion 統合用の ServiceNow アプリケーションのインストールと設定

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:4分

    • ServiceNow AI Platform® インスタンスで統合を実行する前に、これらのインストールと構成のステップを完了して、ServiceNow AI Platform® インスタンスでアプリケーションが セキュリティインシデントレスポンスセキュリティオペレーション 製品と適切に統合されるようにします。

    始める前に

    必要なロール:sn_si.ingestion_profile_admin

    注:
    sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミンが利用できるすべての操作を実行できます。

    手順

    1. ServiceNow Store から統合用の Splunk Enterprise Event Ingestion アプリケーションをインストールしていない場合は、「セキュリティオペレーション 統合のインストール」を参照し、ステップに従ってインストールしてください。
    2. アプリケーションのインストールが完了したら、 統合 > 統合構成 をクリックし、[ Splunk イベントの取り込み] タイルを見つけます。
    3. アプリケーションを設定するには、[新規] をクリックします。
      Splunk の新しい構成タイル。
    4. または、[構成] ボタンがタイルに表示されている場合は、そのボタンをクリックして既存の構成を編集します。
    5. 表示される [イベントの取り込み構成] ダイアログで、フィールドに入力します。
      フィールド説明
      名前 統合に使用される Splunk Enterprise コンソールまたは Splunk Cloud インスタンスの名前。

      名前ではスペースがサポートされていますが、括弧はサポートされていません。たとえば、「HQ-USA」または「HQ USA」と入力します。
      Splunk API のベース URL Splunk Enterprise コンソールまたは Splunk Cloud インスタンスの URL。
      ベーシック認証 デフォルトでは無効になっています。

      構成に API アカウントユーザー名と API パスワードを使用する場合は、チェックボックスをオンにします。
      API アカウントユーザー名 Splunk Enterprise コンソールで個人ユーザーアカウント用に作成したユーザー名。
      API パスワード Splunk Enterprise コンソールで個人ユーザーアカウント用に作成したパスワード。
      トークンベース (バージョン 12.0.0 から利用可能)

      Splunk Enterprise コンソールで API ユーザーアカウント用に作成したトークンベース認証。
      トークン Splunk Enterprise コンソールで API ユーザーアカウント用に作成したトークン。
      MID サーバー 環境に設定されている MID サーバーを指定します。この選択リストから利用できるのは、アクティブで検証済みの MID サーバーのみです。
      オンプレミス展開 デフォルトでは無効になっています。

      クラウドベースバージョンの Splunk Enterprise を使用している場合は、チェックボックスがオフになっていることを確認します。

      このオプションを有効にすると、MID サーバー選択リストが表示されます。Splunk Enterprise のオンプレミスバージョンを使用している場合は、次のステップに従って MID サーバーを選択します。

      1. チェックボックスをオンにします。

        選択リストが表示されます。デフォルトは [任意] になります。

      2. この MID サーバーが Splunk Enterprise Event Ingestion 統合用に構成されている場合にのみ、[任意] を選択します。
      3. 選択リストから、この特定の統合用にインスタンスで構成した ServiceNow AI Platform® MID サーバーを選択します。

      次の図は、MID サーバーを使用したオンプレミスバージョンの Splunk Enterprise 構成用の完成したフォームの例です。

      フィールドが入力された構成フォーム。

      Splunk Enterprise コンソールから取り込む各 Splunk Enterprise アラートには、ServiceNow AI Platform® インスタンス内に一意のイベントプロファイルが必要です。ただし、[イベントの取り込み構成] フォームで構成したソースは、各プロファイルが一意の Splunk トリガーアラートを取り込む限り、複数の ServiceNow AI Platform® プロファイルで再利用できます。

    6. [Submit] をクリックします。
      検証が正常に完了すると、各構成を含む [セキュリティ統合] ページが表示されます。次の図に示すように、有効な各構成タイルに [構成] および [削除] ボタンが表示されます。
      注:
      ベーシック認証またはトークンベースの認証のいずれかを使用する必要があります。いずれかの認証を有効にし、対応する認証の詳細を入力します。両方を有効にすると、エラーが表示されます。

      検証と送信が正常に完了すると、各 [イベントの取り込み] の Splunk サーバー構成は [セキュリティ統合] ページにタイルとして保存されます。保存された構成タイルが右上隅にある [セキュリティ統合] ページに表示されていない場合、[構成を表示] 選択リストから [はい] をクリックします。

      Splunk Enterprise イベントの取り込み構成の構成フォーム。

    [送信] をクリックした後にエラーメッセージが表示された場合は、情報を再度入力し、[送信] をクリックします。

    次のタスク

    アプリケーションのインストールと設定が正常に完了しました。次のステップは、イベントプロファイルの作成です。