Instale e configure o. ServiceNowaplicação para Splunk Enterprise SecurityIntegração de ingestão de evento notável

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Antes de executar a integração no Now Platform®, conclua estas etapas de instalação e configuração para que a aplicação se integre adequadamente ao Resposta a incidentes de segurançae. Operações de segurançaprodutos em seu Now Platform®instância.

    Antes de Iniciar

    Função necessária: ess_analista

    Atribua uma função de usuário Analista de segurança (ess_analyst) no Splunk ES para executar todas as atividades relacionadas à integração no servidor Splunk.

    Procedimento

    1. Se você não tiver instalado o. Splunk Enterprise SecurityAplicação de ingestão de eventos do ServiceNow Storepara a integração, consulte Instale um Operações de segurançaintegraçãoe siga as etapas para instalá-lo.
    2. Depois de instalar a aplicação com sucesso, navegue até Integrações > Configurações de integrações e localize o. SplunkBloco de ingestões de eventos.
    3. Para configurar a aplicação, clique em Novo .

      Bloco de ingestões SplunkEvent
    4. Como alternativa, se for um Configurar é exibido em um bloco, clique nele para editar uma configuração existente.
    5. Na caixa de diálogo Configuração de ingestões de eventos exibida, preencha os campos.
      CampoDescrição
      Nome Nome do Splunk Enterprise Securityconsole ou Splunk Cloudinstância usada para a integração.

      Espaços são compatíveis com nomes, mas parênteses não são compatíveis. Por exemplo, insira SplunkES2 .
      URL base da API Splunk URL do Splunk Enterprise Securityconsole ou Splunk Cloudinstância. O URL deve incluir a porta da API, por exemplo: https://mysplunkserver.com:8089
      Autenticação básica O padrão é desabilitado.

      Se você estiver usando o nome de usuário da conta de API e a senha da API para configuração, habilite a caixa de seleção.
      Nome de usuário da conta da API Nome de usuário que você criou para sua conta de usuário da API no Splunk Enterprise Securityconsole.
      Senha da API Senha que você criou para sua conta de usuário da API no Splunk Enterprise Securityconsole.
      Baseado em token (disponível a partir da versão 12,0.0) Token que você criou para sua conta de usuário de API no console do Splunk Enterprise Security.
      Token Token que você criou para sua conta de usuário da API no SplunkConsole de segurança empresarial.
      Implantação no Local O padrão é desabilitado.

      Se você estiver usando uma versão baseada no local do Splunk Enterprise Security, verifique se esta caixa de seleção está marcada.
      MID Server Opção para escolher um MID Server específico para configurar em seu ambiente, que será usado por esta integração para extrair eventos notáveis ServiceNow.
      Você pode selecionar um MID Server específico na lista ou selecionar Qualquer Para habilitar uma seleção automática de um MID Server válido na lista para esta integração.
      Nota:
      • O MID Server selecionado durante este tempo de configuração se aplica a toda esta integração.
      • Somente MID Servers que estão ativos e validados são exibidos nesta lista. Por padrão, o valor é definido como Qualquer .

      Por exemplo, há três MID Servers A, B e C. Se você selecionar Qualquer , Então um desses MID Servers é selecionado automaticamente e se aplica a toda esta integração. Se você selecionar um MID Server específico, digamos C, o MID Server C selecionado se aplicará a toda esta integração.

      Se você quiser mudar o MID Server, precisará reconfigurá-lo no bloco Configuração do app.
      A figura a seguir é um exemplo de um formulário preenchido para uma configuração de uma versão no local do Splunk Enterprise SecurityCom um MID Server.
      Ingestão de evento Splunk

      Cada Splunk Enterprise Securitytipo de evento notável que você ingerir do seu Splunk Enterprise Securityo console de revisão de incidentes requer um perfil de evento exclusivo em seu Now Platform®instância. No entanto, a origem que você configura no formulário Configuração de ingestões de eventos pode ser reutilizada para vários Now Platform®perfis, desde que cada perfil ingira tipos de evento notáveis exclusivos.

    6. Clique em Enviar.
      Após a validação ser concluída com sucesso, a página Integrações de segurança será exibida com cada uma de suas configurações. Em cada bloco de configuração válido, Atualizar e. Excluir os botões são exibidos conforme mostrado na figura a seguir.
      Nota:
      Os usuários precisam usar Autenticação básica ou Autenticação baseada em token. A ativação de ambos resultará no seguinte erro.
      Configuração de ingestão de evento Splunk
      Nota:
      Se os usuários preferirem atualizar os blocos de configuração existentes para baseados em token, eles precisarão habilitar Ativar esta configuração para atualizar os existentes Splunkconfigurações de origem para a configuração de suporte à autenticação baseada em token em SplunkMódulo Configurações empresariais.

      Botão Atualizar/Excluir

      Cada evento é validado e enviado com sucesso SplunkA configuração do servidor é salva na página Integrações de segurança como um bloco. Se os blocos de configuração salvos não forem exibidos na página Integrações de segurança, no canto superior direito da página, na lista Mostrar configurações, selecione Sim .

    O que Fazer Depois

    Você instalou e configurou a aplicação com sucesso. A próxima etapa é criar um perfil de evento.