Richten Sie Ihr ein ServiceNow AI Platform Instanz für Splunk Enterprise Security Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Im folgenden Abschnitt werden die Setup-Aufgaben aufgeführt, die Sie in ausführen müssen ServiceNow AI Platform® Instanz vor der Installation der Anwendung über ServiceNow Store.

    Erforderliche Rolle: sn_si.ingestion_profile_admin.

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Überprüfen Sie anhand der folgenden Tabelle, ob Sie alle aufgeführten Aufgaben abgeschlossen haben, bevor Sie die Anwendung herunterladen und installieren, um eine reibungslose Installation und Konfiguration zu gewährleisten.

    1. Überprüfen Sie, ob Sie die erforderliche zugewiesen haben ServiceNow AI Platform® Und Security Incident Response( SIR) Rollen.

      Die folgenden Rollen sind für die Installation, das Setup und die Verwendung der Integration in erforderlich ServiceNow AI Platform® Instanz.

      • Ein Anwender mit ServiceNow AI Platform® Die Administratorrolle (admin) installiert die Anwendung aus dem ServiceNow Store Und weist die Rolle Security Incident-Administrator (sn_si.admin) zu.
      • Wenn Sie wichtige Ereignisse manuell von weiterleiten möchten Splunk Enterprise Security Für diese Integration ein Anwender mit ServiceNow AI Platform® Die administratorrolle weist einem Anwender die Rolle (sn_sec_splunkes.api_Account_Access) in zu ServiceNow AI Platform®. Diese Rolle ermöglicht einem Anwender die Verwendung von Splunk Enterprise Security Administratorrolle für den Zugriff auf die API in ServiceNow AI Platform® Dies ist für die manuelle Ereignisweiterleitung für diese Integration erforderlich.

        Die Rolle (sn_sec_splunkes.api_Account_Access) ist für die Integration nicht erforderlich, wenn Sie wichtige Ereignisse automatisch aus erfassen Splunk Enterprise Security In Ihren ServiceNow AI Platform® Instanz.

      • Ein Anwender mit sn_si.ingestion_profile_admin Die Rolle überwacht die folgenden Aufgaben in ServiceNow AI Platform®:
        • Benennt, erstellt und bearbeitet Ereignisprofile.
        • Wählt Werte aus und ordnet sie zu Splunk Enterprise Security Bis ServiceNow AI Platform® Security Incidents.
        • Zeigt vor dem Abschluss der Konfiguration eine Vorschau der Security Incident-Details auf Richtigkeit an.
        • Plant die laufende Erfassung wichtiger Ereignisse.
        • Aktiviert Aktualisierungen wichtiger Ereignisse, wenn ein SIR-Incident erstellt und geschlossen wird.
        • Weist die Rolle Security Incident Analyst (sn_si.Analyst) zu.
        • Anwender mit sn_si.Analyst arbeiten mit Security Incidents.

      Weitere Informationen finden Sie unter Managing roles.

    2. Weisen Sie zu Splunk Anwenderrolle.

      Weisen Sie in eine Sicherheitsanalyst-Anwenderrolle (ess_Analyst) zu Splunk Es, um alle integrationsbezogenen Aktivitäten für durchzuführen Splunk Server.

    3. Stellen Sie sicher, dass Sie Version 7.2.6 oder höher von verwenden Splunk API. Frühere Versionen werden nicht unterstützt.

      Wenn Sie Zugriff auf haben Splunk Enterprise Security Konsole haben Sie Zugriff auf die API, die für diese Integration erforderlich ist. Für die API ist kein anderes spezielles Setup erforderlich.

    4. Überprüfen Sie, ob Sie einen MID-Server installiert und konfiguriert haben.

      A MID-Server In Ihrem ServiceNow AI Platform® Instanz ist erforderlich, um eine Verbindung mit herzustellen Splunk Service, wenn Splunk Server wird in Ihrem Unternehmensnetzwerk bereitgestellt. Informationen finden Sie unter MID-Server .

      Wenn Sie verwenden Splunk Enterprise Security Cloud-Service, A MID-Server Ist nicht erforderlich.

    5. Überprüfen Sie, ob ServiceNow Kernanwendungen, die zur Unterstützung der Integration erforderlich sind, werden installiert und aktiviert.

      Die Security Incident Response Abhängigkeits-Plugin (com.snc.si_dep) ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung von erforderlich sind Security Incident Response Produkt. Installieren und aktivieren Sie dieses Plugin, bevor Sie das andere installieren und aktivieren Security Operations Für die Integration erforderliche Anwendungen.

      Überprüfen Sie Folgendes Security Operations Anwendungen werden über installiert und aktiviert ServiceNow Store. Wenn nicht installiert, installieren und aktivieren Sie jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation sicherzustellen.

      1. Security Incident Response
      2. Sicherheits-Integrations-Framework
      3. Sicherheitssupport Allgemein

      Weitere Informationen zur Installation von finden Sie Security Operations Kernanwendungen, siehe Berechtigung für abrufen Security Operations Produkt oder Anwendung Und Aktivieren Sie einen ServiceNow Store Anwendung.

    Sie haben erfolgreich eingerichtet ServiceNow AI Platform® Instanz für die Integration. Der nächste Schritt besteht in der Installation von Splunk Enterprise Security Anwendung zur Erfassung von bemerkenswerten Ereignissen aus der ServiceNow Store Für die Integration. Weitere Informationen finden Sie unter Installieren und konfigurieren Splunk Enterprise Security Integration der bemerkenswerten Ereigniserfassung.

    Wenn Sie wichtige Ereignisse manuell und bei Bedarf aus exportieren möchten Splunk Enterprise Security Konsole für die Integration finden Sie unter Richten Sie Ihr ein Splunk Umgebung für die manuelle Ereigniserfassung für Splunk Enterprise Security Integration der bemerkenswerten Ereigniserfassung Weitere Informationen finden Sie unter .