Configurar e habilitar a integração do Splunk

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • A integração do Splunk Enrichment pesquisa seus logs e adiciona informações de detecção relevantes.

    Antes de Iniciar

    Antes de poder usar o Splunk Search, você deve baixá-lo da ServiceNow Store.

    Função necessária: sn_sec_tisc.admin

    • O plug-in Central de segurança de inteligência contra ameaças deve ser instalado e ativado para que você possa usar a integração do Splunk Search.
    • Obtenha o Splunk e a Pesquisa do Splunk e obtenha a URL Base da API, a URL do Link, o Nome de Usuário e a Senha da sua instância do Splunk.

    Procedimento

    1. Usando sua instância, acesse a Central de segurança de inteligência contra ameaças.
    2. Baixe a integração do ServiceNow Store.
    3. Quando a instalação estiver concluída, navegue até Espaços > Central de segurança de inteligência contra ameaças.
    4. Selecionar Integrações > Integrações de aprimoramento > Todas as integrações.
    5. Como alternativa, você pode navegar até Integrações > Integrações de aprimoramento > Todas as integrações > Pesquisa de detecções
      As integrações configuradas aparecem como uma série de cartões.
    6. No cartão Pesquisa do Splunk, clique em Configurar novo aprimoramento para configurar a integração da Pesquisa do Splunk.
    7. Preencha os campos no formulário Configurar novo aprimoramento.
      Tabela 1. Integração de aprimoramento
      Campo Descrição
      Nome Insira um nome para a configuração de pesquisa de detecções.
      Nome do fornecedor Nome do fornecedor Os detalhes do fornecedor selecionado são preenchidos por padrão. Por exemplo, Splunk.
      Tipo de Integração Tipo de integração que você selecionou. Por exemplo, Pesquisa de ameaças.
      Descrição Insira a descrição da integração do Splunk. Por exemplo, a integração de aprimoramento do Splunk ajuda na investigação de um observável, oferecendo suporte à consulta de logs em sua implantação do Splunk em relação a indicadores potencialmente maliciosos.
      Configuração de Integração
      URL base da API Splunk A URL base que você adquiriu do site Splunk.
      URL do Link [Opcional] A URL do link que vincula à interface da Web do Splunk, quando disponível.
      Nome de usuário Seu nome de usuário do Intel Elasticsearch.
      Senha Sua senha do Intel Elasticsearch.
      Máx. de Linhas O número máximo de linhas que você deseja pesquisar.
      Resultado Mais Antigo (dias) Os primeiros resultados que você deseja ver em número de dias.
      Incluir amostras de dados brutos nos resultados da pesquisa Selecione esta opção para incluir amostras de dados brutos nos resultados da pesquisa de detecções. A quantidade de dados retornados depende da configuração na propriedade do número de linhas de dados brutos nas propriedades do Security Incident Response.
      Implantação no Local O ambiente implantado no local.
      MID Server Selecione Qualquer para usar qualquer MID Server ativo ou selecione um nome de MID Server específico.
      Nota:
      A configuração desta integração ativa fluxos de trabalho. Para gerenciar os fluxos de trabalho, navegue até o Editor de fluxo de trabalho.
    8. Clique em Salvar.
      Os detalhes da integração são validados e, por padrão, o status da integração do Splunk está desabilitado.
    9. Clique em Habilitar para habilitar a integração do Splunk.

    Resultado

    Depois de configurado, o Splunk pode ser selecionado para executar pesquisas de detecções em observáveis na Central de segurança de inteligência contra ameaças.