Como um usuário com a função de administrador Now Platform, configure sua instância Now Platform.

• Atribua usuários com as funções sn_si.admin e sn_si.analyst conforme necessário.
• Instale e configure um MID Server se o servidor Splunk estiver implantado em sua rede corporativa.
• Verifique se os plug-ins ServiceNow Resposta a incidentes de segurança estão ativados para a versão do Now Platform.
• (Opcional) Se você quiser encaminhar eventos manualmente do console Splunk Enterprise Security para a instância Now Platform, verifique se atribuiu a função (sn_sec_splunkes.api_account_access) a um usuário com a permissão de administrador Splunk Enterprise Security.

Para obter mais informações, consulte Configure sua instância Now Platform para a integração Splunk Enterprise Security.

Como um usuário com a função de administrador Now Platform, instale e configure a aplicação Splunk Enterprise Security a partir do ServiceNow Store.

1. Baixe e instale a aplicação em sua instância Now Platform.
2. Configure a aplicação e conecte-se ao console Splunk Enterprise Security.

Para obter mais informações, consulte Instalar e configurar a aplicação ServiceNow para a integração de ingestão de eventos notáveis Splunk Enterprise Security.

(Opcional) Se você pretende exportar eventos manualmente do console Splunk Enterprise Security para a instância Now Platform, execute as seguintes tarefas:

• Como um administrador Splunk Enterprise Security, instale, configure e habilite o ServiceNow Security Operations Event Ingestion Addon para Splunk Enterprise Security do splunkbase no console Splunk Enterprise Security.
• Como um administrador Splunk Enterprise Security, se ainda não estiver configurado, salve pesquisas como eventos notáveis no console Splunk Enterprise Security.

Para obter mais informações, consulte Configure o ambiente Splunk para ingestão manual de eventos para a integração Splunk Enterprise Security de ingestão de eventos notáveis.

Como um usuário com a função Now Platform sn_si.admin, crie e nomeie um perfil de evento.

Selecione o tipo de perfil na lista de seleção. As opções são um perfil de alerta programado que você usa para ingerir dados de amostra ou um perfil de evento que você usa para exportar dados de anexo manualmente do console Splunk Enterprise Security.

• Para um alerta programado, selecione um alerta disponível.
• Para o perfil de dados exportados manualmente, crie um novo mapa ou copie um mapa existente.

Para obter mais informações, consulte Criar e nomear um perfil de evento para a integração de ingestão de eventos Splunk Enterprise Security.

Como um usuário com a função Now Platform sn_si.admin, mapeie valores ingeridos ou dados de anexo que são exportados de Splunk Enterprise Security para Now Platform incidentes de segurança.

1. Buscar dados de amostra para um alerta programado.
2. (Opcional) Exporte dados de anexo manualmente de Splunk Enterprise Security para um evento.
3. Edite a configuração de mapeamento padrão.
4. Opcionalmente, adicione critérios de filtragem, anexe um alerta a um incidente de segurança existente e use o editor de script.

Para obter mais informações, consulte Mapeamento de campos de evento notáveis para a integração Splunk Enterprise Security e Criar mapeamentos para Splunk ES revisão de incidentes de eventos notáveis e detalhes do evento de contribuição (ingestão programada).

• Como um usuário com a função Now Platform sn_si.admin, visualize os dados de Splunk Enterprise que são exibidos em um incidente de segurança Now Platform.
• Corrija quaisquer erros ou adicione dados ausentes para que nenhuma mensagem de erro seja exibida.

Para obter mais informações, consulte Visualizar o incidente de segurança para a integração de ingestão de eventos Splunk Enterprise Security.