Installieren und konfigurieren Splunk Enterprise Security Integration der bemerkenswerten Ereigniserfassung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Bevor Sie die Integration für ausführen ServiceNow AI Platform® Führen Sie diese Installations- und Konfigurationsschritte aus, damit die Anwendung ordnungsgemäß in integriert wird Security Incident Response Und Security Operations Produkte auf Ihrem ServiceNow AI Platform® Instanz.

    Vorbereitungen

    Erforderliche Rolle: ess_Analyst

    Weisen Sie in Splunk es eine Anwenderrolle „Sicherheitsanalyst“ (ess_Analyst) zu, um alle integrationsbezogenen Aktivitäten auf dem Splunk-Server auszuführen.

    Prozedur

    1. Wenn Sie den nicht installiert haben Splunk Enterprise Security Ereigniserfassungsanwendung aus dem ServiceNow Store Informationen zur Integration finden Sie unter Installieren Sie ein Security Operations Integration Und führen Sie die Schritte aus, um es zu installieren.
    2. Nachdem Sie die Anwendung erfolgreich installiert haben, navigieren Sie zu Integrationen > Integrationskonfigurationen Und suchen Sie Splunk Kachel „Ereigniserfassungen“.
    3. Klicken Sie auf , um die Anwendung zu konfigurieren Neu .

      Kachel „SplunkEvent-Erfassungen“
    4. Alternativ, wenn ein Konfigurieren Die Schaltfläche wird auf einer Kachel angezeigt. Klicken Sie darauf, um eine vorhandene Konfiguration zu bearbeiten.
    5. Füllen Sie die Felder im angezeigten Dialogfeld „Konfiguration der Ereigniserfassungen“ aus.
      FeldBeschreibung
      Name Name des Splunk Enterprise Security Konsole oder Splunk Cloud Für die Integration verwendete Instanz.

      Leerzeichen werden für Namen unterstützt, Klammern werden jedoch nicht unterstützt. Geben Sie beispielsweise ein SplunkES2 .
      Basis-URL der Splunk-API URL für Ihren Splunk Enterprise Security Konsole oder Splunk Cloud Instanz. Die URL sollte den API-Port enthalten, z. B.: https://mysplunkserver.com:8089
      Standardauthentifizierung Standard ist deaktiviert.

      Wenn Sie API-Account-Anwendername und API-Passwort für die Konfiguration verwenden, aktivieren Sie das Kontrollkästchen.
      API-Account-Anwendername Anwendername, den Sie für Ihren API-Anwenderaccount in erstellt haben Splunk Enterprise Security Konsole.
      API-Passwort Passwort, das Sie für Ihren API-Anwenderaccount auf erstellt haben Splunk Enterprise Security Konsole.
      Token-basiert (verfügbar ab Version 12.0,0) Token, das Sie für Ihren API-Anwenderaccount in der Splunk Enterprise-Sicherheitskonsole erstellt haben.
      Token Token, das Sie für Ihren API-Anwenderaccount auf erstellt haben Splunk Enterprise-Sicherheitskonsole.
      Lokale Bereitstellung Standard ist deaktiviert.

      Wenn Sie eine lokale Version von verwenden Splunk Enterprise Security, Stellen Sie sicher, dass dieses Kontrollkästchen aktiviert ist.
      MID-Server Option zum Auswählen eines bestimmten MID-Servers, der in Ihrer Umgebung eingerichtet werden soll. Dieser wird von dieser Integration verwendet, um wichtige Ereignisse abzurufen ServiceNow.
      Sie können einen bestimmten MID-Server aus der Liste auswählen oder auswählen Beliebig Um die automatische Auswahl eines gültigen MID-Servers aus der Liste für diese Integration zu aktivieren.
      Hinweis:
      • Der während dieser Konfigurationszeit ausgewählte MID-Server gilt für die gesamte Integration.
      • In dieser Liste werden nur aktive und validierte MID-Server angezeigt. Standardmäßig ist der Wert auf festgelegt Beliebig .

      Zum Beispiel gibt es drei MID-Server A, B und C. wenn Sie auswählen Beliebig , Wird einer dieser MID-Server automatisch ausgewählt und gilt während dieser Integration. Wenn Sie einen bestimmten MID-Server auswählen, sagen Sie C, dann gilt der ausgewählte MID-Server C während dieser Integration.

      Wenn Sie den MID-Server ändern möchten, müssen Sie ihn über die Kachel „App-Konfiguration“ neu konfigurieren.
      Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular für eine Konfiguration einer lokalen Version von Splunk Enterprise Security Mit einem MID-Server.
      Splunk-Ereigniserfassung

      Jeweils Splunk Enterprise Security Bemerkenswerter Ereignistyp, den Sie aus erfassen Splunk Enterprise Security Die Incident-Überprüfungskonsole erfordert ein eindeutiges Ereignisprofil in Ihrem ServiceNow AI Platform® Instanz. Die Quelle, die Sie im Formular „Konfiguration der Ereigniserfassungen“ konfigurieren, kann jedoch für mehrere wiederverwendet werden ServiceNow AI Platform® Profile, solange jedes Profil eindeutige wichtige Ereignistypen erfasst.

    6. Klicken Sie auf Absenden.
      Nachdem die Validierung erfolgreich abgeschlossen wurde, wird die Seite „Sicherheitsintegrationen“ mit jeder Ihrer Konfigurationen angezeigt. Auf jeder gültigen Konfigurationskachel Aktualisieren Und Löschen Schaltflächen werden wie in der folgenden Abbildung angezeigt.
      Hinweis:
      Anwender müssen entweder die Standardauthentifizierung oder die Token-basierte Authentifizierung verwenden. Wenn Sie beide aktivieren, wird der folgende Fehler ausgegeben.
      Konfiguration Der Splunk-Ereigniserfassung
      Hinweis:
      Wenn Anwender die vorhandenen Konfigurationskacheln auf tokenbasiert aktualisieren möchten, müssen sie diese Einstellung aktivieren, um vorhandene zu aktualisieren Splunk Quellkonfigurationen für die Einstellung zur Unterstützung der tokenbasierten Authentifizierung in Splunk Modul „Enterprise-Einstellungen“.

      Schaltfläche „Aktualisieren/Löschen“

      Nachdem es erfolgreich validiert und übermittelt wurde, werden alle Ereigniserfassungen durchgeführt Splunk Die Serverkonfiguration wird auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln nicht auf der Seite „Sicherheitsintegrationen“ angezeigt werden, wählen Sie in der oberen rechten Ecke der Seite in der Liste Konfigurationen anzeigen die Option aus Ja .

    Nächste Maßnahme

    Sie haben die Anwendung erfolgreich installiert und konfiguriert. Der nächste Schritt besteht darin, ein Ereignisprofil zu erstellen.