Configurar ou mudar a instância em que os incidentes ou eventos são criados

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 6 min. de leitura

    • Para configurar ou mudar a instância ServiceNow em que novos incidentes e eventos de segurança são criados, use a ação Configurar na lista de aplicações.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Abra o Splunk.
    2. Clique no ícone de engrenagem de aplicativos ou no item de menu de atalho Gerenciar aplicativos.
    3. Na lista de aplicações, pesquise por aplicações da ServiceNow usando o filtro.
    4. Procure a Integração do Security Operations da ServiceNowe clique na ação Configurar correspondente.
    5. No formulário, preencha os campos.
      CampoDescrição
      Especificar servidor da ServiceNow  
      URL URL do console [ Splunk Enterprise Security ou instância Splunk Cloud. O URL deve incluir a porta da API, por exemplo: https://mysplunkserver.com:8089
      Tipo de autenticação Opção para selecionar o tipo de autenticação. Você pode selecionar Autenticação básica ou AutenticaçãoOAuth 2.0.
      • Se você estiver usando o Nome de usuário da conta da API e a Senha da API para configuração, ative a caixa de seleção Autenticação básica.

        O padrão é desabilitado.

      • Se você estiver usando a autenticação OAuth 2.0 para a configuração, ative a caixa de seleção Autenticação OAuth 2.0.

        O padrão é desabilitado.
      Autenticação básica  
      Nome do usuário Nome de usuário que você criou para sua conta de usuário da API no console Splunk Enterprise Security.
      Senha Senha que você criou para sua conta de usuário da API no console Splunk Enterprise Security.
      Confirmar senha Digite a senha para confirmá-la.
      Autenticação do OAuth 2.0  
      ID de cliente ID de cliente do app criado no servidor da ServiceNow.
      Segredo do Cliente Segredo do cliente do app criado no servidor da ServiceNow.
      Redirecional URL O URL para o qual será redirecionado. Você pode copiar e colar este URL no URL de redirecionamento do registro da ServiceNow.
      Proxy opcional  
      URL do proxy URL do proxy para seu console [ Splunk Enterprise Security ou instância Splunk Cloud.
      Porta Endereço da porta.
      Nome do usuário Nome de usuário que você criou para a conta de proxy no console Splunk Enterprise Security.
      Senha Senha que você criou para a conta de proxy no console Splunk Enterprise Security.
      Confirmar senha Digite a senha para confirmá-la.
      Configuração de nível de registro em log  
      Nível de Log O nível de logs de relatório gerados pela integração, ou seja, o nome do tipo de informação. Você também pode atualizar o valor para as seguintes opções:
      • informações
      • error
      • aviso
      • depurar

      Por padrão, o valor é info.
      Seleção de API  
      Seleção de API Selecione uma das seguintes APIs:
      • Tabela API
      • API do Import Set

      ServiceNow Security Operations Integration configurado no Splunk

    6. Clique em Salvar.
    7. Como alternativa, procure a Integração de ingestão de eventos da ServiceNowe clique na ação Configurar correspondente.
      A Integração de ingestão de eventos da ServiceNow é configurada em três guias diferentes.
      • Splunk primário: a configuração padrão ou primária do Splunk.
      • Splunk secundário: (opcional) o backup ou a segunda configuração do Splunk.
      • Nível de registroem log : o nível de logs de relatórios gerados pela integração, ou seja, o nome do tipo de informação.
    8. Selecione a guia Splunk primário.
    9. No formulário, preencha os campos.
      CampoDescrição
      Rótulo de ação de fluxo de trabalho

      Nome do console primário Splunk Enterprise Security ou da instância primária Splunk Cloud usada para a integração.

      Espaços são compatíveis com nomes, mas parênteses não são compatíveis. Por exemplo, insira SplunkES2.
      URL URL do console primário Splunk Enterprise Security ou da instância primária Splunk Cloud. O URL deve incluir a porta da API, por exemplo: https://mysplunkserver.com:8089
      Endpoint Endpoint para seu console primário Splunk Enterprise Security ou a instância primária Splunk Cloud.
      Tipo de autenticação Opção para selecionar o tipo de autenticação. Você pode selecionar Autenticação básica ou AutenticaçãoOAuth 2.0.
      • Se você estiver usando o Nome de usuário da conta da API e a Senha da API para configuração, ative a caixa de seleção Autenticação básica.

        O padrão é desabilitado.

      • Se você estiver usando a autenticação OAuth 2.0 para a configuração, ative a caixa de seleção Autenticação OAuth 2.0.

        O padrão é desabilitado.
      Autenticação básica  
      Nome do usuário Nome de usuário que você criou para sua conta de usuário da API no console Splunk Enterprise Security.
      Senha Senha que você criou para sua conta de usuário da API no console Splunk Enterprise Security.
      Confirmar senha Digite a senha para confirmá-la.
      Autenticação do OAuth 2.0  
      ID de cliente ID de cliente do app criado no servidor da ServiceNow. Para obter informações sobre como obter o ID do cliente, consulte Configurar o registro da aplicação na instância da ServiceNow
      Segredo do Cliente Segredo do cliente do app criado no servidor. Para obter informações sobre como obter o segredo do cliente, consulte Configurar o registro da aplicação na instância da ServiceNow
      Redirecional URL O URL para o qual será redirecionado. Você pode copiar e colar este URL no URL de redirecionamento do registro da ServiceNow. Para obter informações, consulte Configurar o registro da aplicação na instância da ServiceNow
      Configuração de proxy opcional  
      URL do proxy URL do proxy para seu console secundário [ Splunk Enterprise Security ou instância secundária Splunk Cloud.
      Porta Endereço da porta.
      Nome do usuário Nome de usuário que você criou para a conta de proxy no console secundário Splunk Enterprise Security.
      Senha Senha que você criou para a conta de proxy no console secundário Splunk Enterprise Security.
      Confirmar senha Digite a senha para confirmá-la.

      ServiceNow Event Ingestion Integration configurada no Splunk

    10. Opcional: Selecione a guia Splunk secundário.
    11. Opcional: No formulário, preencha os campos.
      CampoDescrição
      Rótulo de ação de fluxo de trabalho

      Nome do console secundário Splunk Enterprise Security ou da instância secundária Splunk Cloud usada para a integração.

      Espaços são compatíveis com nomes, mas parênteses não são compatíveis. Por exemplo, insira SplunkES2.
      URL URL do console secundário Splunk Enterprise Security ou da instância secundária Splunk Cloud. O URL deve incluir a porta da API, por exemplo: https://mysplunkserver.com:8089
      Endpoint Endpoint para seu console secundário Splunk Enterprise Security ou a instância secundária Splunk Cloud.
      Tipo de autenticação Opção para selecionar o tipo de autenticação. Você pode selecionar Autenticação básica ou AutenticaçãoOAuth 2.0.
      • Se você estiver usando o Nome de usuário da conta da API e a Senha da API para configuração, ative a caixa de seleção Autenticação básica.

        O padrão é desabilitado.

      • Se você estiver usando a autenticação OAuth 2.0 para a configuração, ative a caixa de seleção Autenticação OAuth 2.0.

        O padrão é desabilitado.
      Autenticação básica  
      Nome do usuário Nome de usuário que você criou para sua conta de usuário da API no console Splunk Enterprise Security.
      Senha Senha que você criou para sua conta de usuário da API no console Splunk Enterprise Security.
      Confirmar senha Digite a senha para confirmá-la.
      Autenticação do OAuth 2.0  
      ID de cliente ID de cliente do app criado no servidor da ServiceNow.
      Segredo do Cliente Segredo do cliente do app criado no servidor da ServiceNow.
      Redirecional URL O URL para o qual será redirecionado. Você pode copiar e colar este URL no URL de redirecionamento do registro da ServiceNow.
      Configuração de proxy opcional  
      URL do proxy URL do proxy para seu console secundário [ Splunk Enterprise Security ou instância secundária Splunk Cloud.
      Porta Endereço da porta.
      Nome do usuário Nome de usuário que você criou para a conta de proxy no console secundário Splunk Enterprise Security.
      Senha Senha que você criou para a conta de proxy no console secundário Splunk Enterprise Security.
      Confirmar senha Digite a senha para confirmá-la.
    12. Selecione a guia Nível de registro em log.
    13. No formulário, preencha os campos.
      CampoDescrição
      Nível de Log O nível de logs de relatório gerados pela integração, ou seja, o nome do tipo de informação. Você também pode atualizar o valor para as seguintes opções:
      • informações
      • error
      • aviso
      • depurar

      Por padrão, o valor é info.
    14. Clique em Salvar.
      Depois que a validação for concluída com sucesso, a página Integrações de segurança será exibida com cada uma das suas configurações. Em cada bloco de configuração válido, os botões Atualizar e Excluir são exibidos, conforme mostrado na figura a seguir.
      Nota:
      Você precisa usar somente a Autenticação básica ou a Autenticação OAuth 2.0. Habilite uma das autenticações e insira os detalhes de autenticação correspondentes. Habilitar ambos exibirá um erro.

      Depois de validada e enviada com sucesso, cada configuração de servidor de ingestão de eventos Splunk é salva na página Integrações de segurança como um bloco. Se os blocos de configuração salvos não forem exibidos na página Integrações de segurança, no canto superior direito da página, na lista Mostrar configurações, clique em Sim.