Integrationsarchitektur und Verbindung mit externen Systemen für Splunk Enterprise Event Ingestion Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Im folgenden Thema wird die Integrationsarchitektur beschrieben, die entwickelt wurde, um die Erfassung ausgelöster Warnungen von zu unterstützen Splunk Enterprise Konsole. Diese Informationen verdeutlichen auf allgemeiner Ebene den konzeptionellen Betrieb der Integration. Es wird auch erklärt, warum Setup-Schritte erforderlich sind, bevor die Anwendung über installiert wird ServiceNow Store.

    Schlüsselbegriffe, die für diese Integration verwendet werden

    Die folgenden Schlüsselbegriffe werden während der Installation und Konfiguration verwendet. Weitere Informationen zu diesen Begriffen finden Sie unter ServiceNow-Produktdokumentationswebsite Und Splunk-Website Und -Ressourcen auf Splunk-Ressourcen Seite.

    ServiceNow AI Platform
    Ein Unternehmen ServiceNow Produkt. Die ServiceNow AI Platform Ist die Basis, auf der einzelne Komponenten wie basieren Security Incident Response( SIR), IT Service Management (ITSM) und andere Produkte werden erstellt.
    ServiceNow Splunkbase-Add
    A ServiceNow Anwendung, die auf installiert ist Splunk Enterprise Konsole, die die manuelle Ereignisweiterleitungsoption der Integration unterstützt. Die manuelle Ereignisweiterleitung ist eine optionale Funktion der Integration. Dies ServiceNow Splunkbase-Add-on ist für die automatisierte Warnungserfassung, die von der Integration bereitgestellt wird, nicht erforderlich.
    Security Incident Response (SIR)
    A ServiceNow AI Platform Anwendung, die den Fortschritt von Security Incidents von der Erkennung und ersten Analyse über die Eindämmung, Beseitigung und Wiederherstellung bis hin zur endgültigen Überprüfung und Schließung von Security Incidents nachverfolgt.
    Splunk Enterprise
    Ein automatisiertes Security Incident Event Management (SIEM)-Produkt oder Cloud-Service, das Daten erfasst, die für die Analyse und das Management von Incidents verwendet werden. Dieser Service befindet sich auf einem Host, der manchmal auch als bezeichnet wird SplunkKonsole in diesem Handbuch.
    Splunk Warnung
    Eine Suche, die Sie in konfigurieren und speichern Splunk Dient zum Scannen nach bestimmten Daten basierend auf den Parametern, die Sie in eingerichtet haben Splunk Enterprise Service. Wenn Sie Warnungen aus abrufen Splunk, Sie rufen auch alle Ereignisse ab, die dieser Warnung zugeordnet sind.
    Splunk Ausgelöste Warnung
    Eine konfigurierte Suche in Splunk Enterprise Konsole, die Ergebnisse zurückgibt und diese Ergebnisse als ausgelöste Warnungen kennzeichnet. Die ausgelösten Warnungen werden aus erfasst Splunk-Konsole in Ihrem ServiceNow AI Platform Instanz für diese Integration. Ausgelöste Warnungen haben mindestens eine Splunk Ereignisse.
    Splunk Termin
    Ein oder mehrere Datenelemente, die zu den ausgelösten Warnungen des führen Splunk Service. Von Ihrem ServiceNow AI Platform Instanz können Sie nachschlagen, welche Splunk Ereignisse ausgelöst ServiceNow AI Platform Security Incidents.
    MID-Server
    Diese Anwendung erleichtert die Kommunikation und das Verschieben von Daten zwischen ServiceNow AI Platform Und externe Anwendungen, Datenquellen und Services. Diese Anwendung ist normalerweise für die Integration mit lokalen Technologien und erforderlich Splunk Enterprise Event Ingestion Integration erleichtert der MID-Server die Kommunikation zwischen ServiceNow AI Platform Und die lokale Instanz von Splunk Enterprise. Ein MID-Server ist nicht erforderlich, wenn Sie Ihren integrieren ServiceNow AI Platform Instanz mit Splunk Cloud Instanz.
    Security Incident-Administrator (sn_si.admin)
    Der Anwender mit dieser Rolle überwacht die Konfiguration der Integration mit SIR Produkt in Ihrem ServiceNow AI Platform Instanz.
    Security Incident-Analyst (sn_si.Analyst)
    Der Anwender mit dieser Rolle interagiert mit Security Incidents in und analysiert sie ServiceNow Security Incident Response Produkt.
    Security Incident-Profiladministrator (sn_si.ingestion_profile_admin)
    Der Anwender mit dieser Rolle konfiguriert das Plugin, erstellt, bearbeitet, löscht und verwaltet Erfassungsprofile für Azure Sentinel, Splunk und Splunk es Integration für SIR Produkt in Ihrem ServiceNow AI Platform Instanz.

    Externe Systemverbindung

    Ein Ereignisprofil ist ein Container, den Sie für eine singuläre Verbindung und einen Aufruf an erstellen, benennen und konfigurieren Splunk Service zum Abrufen der aktuell ausgelösten Warnungen, die bestimmten Kriterien entsprechen. Nachdem ausgelöste Warnungen abgerufen wurden, die Ihrem Profil entsprechen Splunk, Wählen Sie aus, welche dieser Warnungen als angezeigt werden sollen ServiceNow AI Platform Security Incident Response SIR Security Incident. Eine Standardansicht von Splunk Enterprise Warnungsfelder sind verfügbar, und Sie bearbeiten diese Zuordnung von Warnungsfeldern zu den Feldern in einem SIR Security Incident, der Ihren Anforderungen entspricht. Sie zeigen eine Vorschau Ihrer Zuordnung an, um sicherzustellen, dass alle erforderlichen Warnungsfeldwerte im ausgefüllt sind SIR Security Incident. Um die Konfiguration des Warnungsprofils abzuschließen, planen Sie den Abruf von Warnungen und aktivieren dann das Profil. Nachdem Sie das Profil in aktiviert haben ServiceNow AI Platform, Sie sind bereit, historische und laufende Aufnahmen zu erfassen Splunk Warnungen automatisch.

    Wenn Sie als Anwender mit der Rolle sn_si.admin feststellen, dass eine neue ausgelöste Warnung den zuvor erfassten Warnungen ähnelt, können Sie neue ausgelöste Warnungen zu vorhandenen aggregieren SIR Security Incidents. Sie legen Kriterien fest, um übereinstimmende Zielfeldwerte in anzugeben Splunk Enterprise Warnungsprofil, das definiert, wann ein vorhandener Security Incident aktualisiert und wann ein neuer Security Incident erstellt wird. Wenn die Zusammenfassungsfunktion in Ihrem Ereignisprofil aktiviert ist, wenn der Importsatz umgewandelt wird, ist Ihr ServiceNow AI Platform Die Instanz sucht nach einem vorhandenen Datensatz in der Zieltabelle, der denselben Wert in den Ziel- und Quellfeldern hat. Wenn ein vorhandener Datensatz mit einem übereinstimmenden Wert in der Zieltabelle gefunden wird, wird dieser Datensatz aktualisiert. Wenn kein übereinstimmender Datensatz gefunden wird, wird ein neuer Datensatz in der Zieltabelle erstellt. Wenn diese Option aktiviert ist, aktualisiert die Zusammenfassungsoption vorhandene Security Incidents mit neuen ausgelösten Warnungen, und Sie vermeiden das Erstellen mehrerer Security Incidents. Weitere Informationen zum Aktualisieren von Datensätzen mithilfe von Zusammenfassungsoptionen finden Sie unter Datensätze werden mithilfe von Zusammenfügungen aktualisiert .

    Diese Anwendung verwendet Splunk API-Service zum Abrufen von Informationen aus Splunk Service. Eine ausgehende HTTPS-Verbindung vom MID-Server zu dieser Umgebung ist erforderlich, damit die Integration ordnungsgemäß funktioniert.

    Nachdem es mit verbunden wurde Splunk Service unterstützt die Integration das Abrufen und Erfassen ausgelöster Warnungen und Ereignisse, die Security Incidents auslösen.

    Der Basisdaten-Flow wird in den folgenden Abbildungen dargestellt. In jeder Abbildung ist Ihr ServiceNow AI Platform Ruft (erfasst) Daten ab. Splunk Sendet keine Daten für geplante Warnungen.

    Abbildung : 1. Verbindung zu lokal Splunk enterprise-Service mit einzelnen MID s Fehler
    Verbindung mit einem einzelnen MID-Server.
    Abbildung : 2. Verbindung mit Splunk enterprise-Cloud-Instanz
    Konfiguration zwei.
    Abbildung : 3. Mehrere Verbindungen mit Splunk enterprise-Service mit mehreren MID-Servern
    Mehrere MID-Server.