Configure seu Splunkambiente para ingestão manual de eventos para Splunk Enterpriseintegração de ingestão de evento

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 6 min. de leitura
  • Se você quiser exportar eventos manualmente e sob demanda do Splunk Enterprisepara esta integração, instale e configure o. ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterpriseaplicação em seu SplunkConsole empresarial ou instância do Splunk Cloud.

    Antes de Iniciar

    Verifique se você instalou a aplicação para esta integração do ServiceNow Storeantes de instalar o plug-in de complemento do splunkbase que é necessário para a ingestão manual de eventos. Se você não tiver instalado a aplicação para a integração do ServiceNow Store, consulte Instale e configure o. ServiceNowaplicação para Splunk Enterprise Event Ingestionintegraçãoe siga as instruções para instalá-lo.

    Função necessária: Now Platformadministrador (admin)

    Por Que e Quando Desempenhar Esta Tarefa

    Instalando e configurando o. ServiceNowO complemento de ingestão de evento de operações de segurança é opcional.

    Se você quiser exportar eventos manualmente e sob demanda do Splunk Enterpriseconsole para a integração, download, instalação e configuração do ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterpriseda base de splunkno seu Splunk Enterpriseconsole.

    Isso ServiceNowo complemento de extensão é necessário para que os incidentes de segurança possam ser criados a partir de eventos exportados manualmente no Now Platforminstância. Isso ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterprisea aplicação está disponível em splunkbase .

    Para o encaminhamento manual de eventos, você pode identificar até dois diferentes Now Platformendpoints (instâncias) em seu Splunk Enterpriseconsole. Você encaminha os eventos para o endpoint ou endpoints manualmente para criar incidentes de segurança. Por exemplo, você pode especificar uma instância de preparação (desenvolvimento) e uma instância de produção. Ao especificar instâncias separadas e nomear fluxos de trabalho primários e secundários para cada instância, você pode escolher para onde deseja encaminhar eventos diferentes.

    Procedimento

    1. Se você ainda não tiver instalado o. ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterprise, siga estas etapas para instalá-lo e configurá-lo.
      1. Navegue até splunkbase .
      2. PESQUISE ServiceNow Operações de segurançaComplemento de ingestão de evento de operações de segurança para Splunk Enterprise.
        Nota:
        Verifique se você selecionou ServiceNow Operações de segurançaComplemento de ingestão de eventos para Splunk Enterprise. Há adicionais ServiceNowcomplementos exibidos nesta lista. Esses complementos são para diferentes ServiceNow Splunke elas não são necessárias para esta integração.
      3. Baixe a aplicação.
      4. Abra seu Splunk Enterpriseconta.
      5. Na página Aplicativos, clique no ícone de engrenagem ou em Gerenciar apps atalho na lista suspensa do menu.
      6. No canto superior esquerdo da página Aplicativos exibida, clique em Instale o app do arquivo .
      7. Clique em Escolha Arquivo , selecione ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterprisee clique em Upload .
      8. Se solicitado, reinicie Splunk Enterprise.
        . ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterpriseestá instalado em seu Splunk Enterpriseconsole empresarial. A próxima etapa para configurar o complemento.
    2. Para configurar o complemento, siga estas etapas.
      1. Em Splunk Enterprise, clique em Apps ícone de engrenagem ou Gerenciar apps na lista suspensa do menu.
      2. Na lista de aplicações exibida, em Ações clique em Configuração para ServiceNow Operações de segurançaComplemento de ingestão de eventos para Splunk Enterprise.
      3. Preencha o formulário.
        A figura a seguir é um exemplo de um formulário preenchido em seu Splunk Enterpriseconsole.
        Formulário preenchido com definições de configuração para instâncias primária e secundária da ServiceNow
      Campo na seção Especificar instância primária da ServiceNowDescrição
      Rótulo de ação do fluxo de trabalho Nome do Now Platformfluxo de trabalho da sua instância de produção (primária). Este nome é o nome de um Now Platforminstância que seus usuários que estão monitorando SplunkOs eventos são identificados como uma instância primária, por exemplo, ingestão de eventos ServiceNow (produção).

      O padrão para este campo é Ingestão de eventos ServiceNow (produção).

      Em seu Splunk EnterpriseEste nome de fluxo de trabalho é exibido para a instância de produção (primária) no expandido Ações de evento lista suspensa de uma pesquisa. Este nome é o nome da sua instância de produção. Você pode editar o nome.

      URL O URL do Now PlatformInstância inserida no campo Rótulo de ação de fluxo de trabalho anterior.

      Copie o URL no seu navegador e cole-o neste campo no formulário.

      Endpoint Caminho da API de base. Para obter mais informações, consulte a figura a seguir à tabela.

      Se você não tiver um valor para o endpoint do Now Platforminstância de produção, siga estas etapas.

      1. Faça login em Now Platforminstância de produção como um usuário com a função de administrador do sistema (administrador).
      2. Insira REST com script no painel de navegação.
      3. Depois que o painel de navegação for atualizado, selecione REST com script módulo exibido.
      4. Se a ingestão de evento não estiver listada na coluna Nome do REST com script lista que é exibida, no campo de pesquisa na parte superior, insira Ingestão de evento .
      5. Na coluna Caminho da API base na página atualizada, copie este valor e cole-o no campo Endpoint no formulário. Um exemplo de caminho de api base é, /api/sn_sec_splunk_v2/event_ingestion .
      Nome do usuário Nome de usuário do Now Platforminstância. Este nome é o nome de usuário do Now Platforminstância na qual você atribuiu um usuário com a função (sn_sec_splunk_v2.api_account_access) para encaminhamento manual de eventos.

      Para obter mais informações sobre como atribuir esta função, consulte Configure seu Now Platforminstância do Splunk Enterprise Event Ingestionintegração.

      Senha Senha do Now Platforminstância.

      Esta senha é a senha do Now Platforminstância na qual você atribuiu um usuário com a função (sn_sec_splunk_v2.api_account_access) para encaminhamento manual de eventos.

      (Opcional) Campos na seção Especificar instância secundária da ServiceNow Descrição

      Estes campos são opcionais. Você não precisa especificar uma instância secundária.

      Rótulo de ação do fluxo de trabalho Nome do Now Platformfluxo de trabalho para sua instância secundária (preparação). Este nome é o nome de um Now Platforminstância que seus usuários que estão monitorando Splunkos eventos são identificados como uma instância secundária, por exemplo, ServiceNowIngestão de evento (preparação).

      Em seu Splunk EnterpriseEste nome de fluxo de trabalho é exibido para a instância de preparação (secundária) na lista suspensa Ações de evento expandida de uma pesquisa. Isso Now Platforma instância é sua instância de preparação. Você pode editar o nome.

      URL O URL do Now PlatformInstância inserida no campo Rótulo de ação de fluxo de trabalho anterior para o secundário Now Platforminstância.

      Copie o URL no seu navegador e cole-o neste campo no formulário.

      Endpoint Caminho da API de base. O valor do Caminho da API base da instância secundária é o mesmo valor que o Caminho da API base da instância primária. Consulte a figura anterior do formulário para obter mais informações.
      Nome do usuário Nome de usuário do Now Platforminstância de preparação. O usuário deve ter a função (sn_sec_splunk_v2.api_account_access).
      Senha Senha do Now Platforminstância de preparação. O usuário deve ter a função (sn_sec_splunk_v2.api_account_access).
      A figura a seguir é um exemplo da lista de APIs REST com script em seu Now Platform. A lista exibe o local do valor de endpoint de um Now Platforminstância que você insere no formulário como parte da configuração para ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterpriseextensão em seu Splunk Enterpriseconsole.
      Figura 1. Lista de APIs REST com script na Now Platform
      Caminho da API base realçado.
    3. No formulário de configuração em Splunk Enterpriseconsole, clique em Salvar para salvar suas edições.

      Após alguns momentos, no canto superior esquerdo do formulário em seu Splunk Enterpriseuma mensagem é exibida informando que o registro foi atualizado com sucesso.

      Depois de salvar o formulário, os nomes (rótulos de ação de fluxo de trabalho) do seu Now PlatformAs instâncias que você criou no formulário estão disponíveis na lista de seleção Ações de evento em um evento selecionado de uma pesquisa em Splunk Enterpriseconsole.

    O que Fazer Depois

    Se você ainda não tiver salvo pesquisas em Splunk Enterpriseconsole, a próxima etapa é salvar pesquisas como alertas em Splunk Enterpriseconsole.