Konfigurieren und aktivieren Sie die Splunk-Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Die Splunk-Anreicherungsintegration durchsucht Ihre Protokolle und fügt relevante Sichtungsinformationen hinzu.

    Vorbereitungen

    Bevor Sie die Splunk-Suche verwenden können, müssen Sie sie aus dem ServiceNow Store herunterladen.

    Erforderliche Rolle: sn_sec_tisc.admin

    • Das Plugin „Threat Intelligence Security Center“ muss installiert und aktiviert sein, bevor Sie die Splunk Search-Integration verwenden können.
    • Rufen Sie den Splunk ab, erhalten Sie die Splunk-Suche, und erhalten Sie die API-Basis-URL, die Link-URL, den Anwendernamen und das Passwort von Ihrer Splunk-Instanz.

    Prozedur

    1. Greifen Sie mit Ihrer Instanz auf zu Threat Intelligence-Sicherheitszentrum .
    2. Laden Sie die Integration aus dem herunter ServiceNow Storean.
    3. Wenn die Installation abgeschlossen ist, navigieren Sie zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
    4. Auswahlvorgang Integrationen > Ergänzungsintegrationen > Alle Integrationenan.
    5. Alternativ können Sie zu navigieren Integrationen > Ergänzungsintegrationen > Alle Integrationen > Sichtungssuche
      Die konfigurierten Integrationen werden als Reihe von Karten angezeigt.
    6. In Splunk-Suche Karte, klicken Sie auf Konfigurieren Sie Neue Anreicherung Zum Konfigurieren Splunk-Suche Integration.
    7. Füllen Sie die Felder im Formular „neue Anreicherung konfigurieren“ aus.
      Tabelle : 1. Ergänzungsintegration
      Feld Beschreibung
      Name Geben Sie einen Namen für die Sichtungssuchkonfiguration ein.
      Lieferantenname Name des Lieferanten. Die Details des ausgewählten Lieferanten werden standardmäßig ausgefüllt. Beispiel: Splunk.
      Integrationstyp Typ der von Ihnen ausgewählten Integration. Beispiel: Bedrohungssuche.
      Beschreibung Geben Sie die Beschreibung für die Splunk-Integration ein. Beispielsweise hilft die Splunk-Ergänzungsintegration bei der Untersuchung eines erkennbaren Elements, indem sie die Abfrage von Protokollen in Ihrer Splunk-Bereitstellung in Bezug auf potenziell schädliche Indikatoren unterstützt.
      Integrationskonfiguration
      Basis-URL der Splunk-API Die Basis-URL, die Sie von der Splunk-Website erworben haben.
      Link-URL [Optional] die Link-URL, die mit der Splunk-Webschnittstelle verknüpft ist, falls verfügbar.
      Anwendername Ihr Intel Elasticsearch-Anwendername.
      Passwort Ihr Intel Elasticsearch-Passwort.
      Max. Zeilen Die maximale Anzahl von Zeilen, die Sie durchsuchen möchten.
      Erstes Ergebnis (Tage) Die frühesten Ergebnisse, die Sie in Tagen anzeigen möchten.
      Rohdatenmuster in Suchergebnissen berücksichtigen Wählen Sie diese Option aus, um Beispiele von Rohdaten in Ihre Sichtungssuchergebnisse aufzunehmen. Die Menge der zurückgegebenen Daten hängt von Ihrer Einstellung für die Anzahl der Zeilen der Rohdateneigenschaft in ab Eigenschaften von Security Incident Response .
      Lokale Bereitstellung Die lokal bereitgestellte Umgebung.
      MID-Server Wählen Sie beliebig aus, um einen aktiven MID-Server zu verwenden, oder wählen Sie einen bestimmten MID-Server-Namen aus.
      Hinweis:
      Durch die Konfiguration dieser Integration werden Workflows aktiviert. Um die Workflows zu verwalten, navigieren Sie zum Workflow-Editor.
    8. Klicken Sie auf Speichern.
      Die Integrationsdetails werden validiert, und standardmäßig ist der Status der Splunk-Integration deaktiviert.
    9. Klicken Sie Auf Aktivieren Zum Aktivieren der Splunk-Integration.

    Ergebnisse

    Nach der Konfiguration kann Splunk ausgewählt werden, um eine Sichtungssuche für erkennbare Elemente im Threat Intelligence-Sicherheitszentrum durchzuführen.