Configure seu Now Platforminstância do Splunk Enterprise Securityintegração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • A seção a seguir lista as tarefas de configuração que você precisa concluir em Now Platform®instância antes de instalar a aplicação do ServiceNow Store.

    Função necessária: administrador

    Consulte a tabela a seguir e verifique se você concluiu todas as tarefas listadas antes de baixar e instalar a aplicação para garantir uma instalação e configuração tranquilas.

    1. Verifique se você atribuiu o necessário Now Platform®e. Resposta a incidentes de segurança( SIR).

      As funções a seguir são necessárias para a instalação, configuração e uso da integração no Now Platform®instância.

      • Um usuário com Now Platform®a função de administrador (administrador) instala a aplicação do ServiceNow Storee atribui a função de administrador de incidentes de segurança (sn_si.admin).
      • Se você quiser encaminhar eventos notáveis manualmente de Splunk Enterprise Securitypara esta integração, um usuário com Now Platform®a função de administrador atribui um usuário com a função (sn_sec_splunkes.api_account_access) no Now Platform®. Esta função permite que um usuário com Splunk Enterprise SecurityFunção de administrador para acessar a API no Now Platform®necessário para o encaminhamento manual de eventos para esta integração.

        A função (sn_sec_splunkes.api_account_access) não será necessária para a integração se você estiver ingerindo eventos notáveis automaticamente do Splunk Enterprise Securityem seu Now Platform®instância.

      • Um usuário com a função sn_si.admin supervisiona as seguintes tarefas no Now Platform®:
        • Nomeia, cria e edita perfis de evento.
        • Seleciona e mapeia valores de Splunk Enterprise Securitypara Now Platform®incidentes de segurança.
        • Visualiza os detalhes do incidente de segurança para obter precisão antes de finalizar a configuração.
        • Ingestão de eventos notáveis em andamento.
        • Habilita atualizações de eventos notáveis quando um incidente de SIR é criado e encerrado.
        • Atribui a função de analista de incidentes de segurança (sn_si.analista).
        • Os usuários com sn_si.analista trabalham com incidentes de segurança.

      Para obter mais informações, consulte Managing roles.

    2. Atribua o. Splunkfunção do usuário.

      Atribua uma função de usuário Analista de segurança (ess_analista) em SplunkES para executar todas as atividades relacionadas à integração no Splunkservidor.

    3. Verifique se você está usando a versão 7.2.6 ou posterior do SplunkAPI. Versões anteriores não são compatíveis.

      Se você tiver acesso ao Splunk Enterprise Security, você tem acesso à API necessária para esta integração. Não há outra configuração especial necessária para a API.

    4. Verifique se você instalou e configurou um MID Server.

      R MID Serverem seu Now Platform®a instância é necessária para se conectar ao Splunkserviço, se o. Splunko servidor está implantado em sua rede corporativa. Para obter informações, consulte MID Server .

      Se você estiver usando o. Splunk Enterprise SecurityServiço de nuvem, A. MID Servernão é obrigatório.

    5. Verifique se ServiceNowas principais aplicações necessárias para oferecer suporte à integração são instaladas e ativadas.

      . Resposta a incidentes de segurançaO plug-in de dependência (com.snc.si_dep) é obrigatório. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao Resposta a incidentes de segurançaproduto. Instale e ative este plug-in antes de instalar e ativar o outro Operações de segurançaaplicações exigidas pela integração.

      Verifique se o seguinte Operações de segurançaas aplicações são instaladas e ativadas a partir do ServiceNow Store. Se não estiver instalado, instale e ative uma aplicação de cada vez na seguinte ordem para garantir uma instalação tranquila.

      1. Resposta a incidentes de segurança
      2. Estrutura de integração de segurança
      3. Suporte de segurança comum

      Para obter mais informações sobre como instalar o. Operações de segurançaaplicações principais, consulte Obter direito para um Operações de segurançaproduto ou aplicaçãoe. Ative um ServiceNow Storeaplicação.

    Você configurou com sucesso seu Now Platform®instância da integração. A próxima etapa é instalar o. Splunk Enterprise SecurityAplicação de ingestão de evento notável do ServiceNow Storepara a integração. Para obter mais informações, consulte Instale e configure o. ServiceNowaplicação para Splunk Enterprise SecurityIntegração de ingestão de evento notável.

    Se você quiser exportar eventos notáveis manualmente e sob demanda do Splunk Enterprise Securitypara obter a integração, consulte Configure seu Splunkambiente para ingestão manual de eventos para Splunk Enterprise SecurityIntegração de ingestão de evento notávelpara obter mais informações.