Check-list para Splunk Enterprise Event Ingestionintegração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Use esta check-list para orientá-lo em todas as tarefas da integração. A check-list a seguir inclui tarefas de configuração e instalação e exemplos de casos de uso que incluem os resultados esperados para a integração.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Acompanhe seu andamento com a instalação, instalação e configuração da integração com a tabela a seguir. Conclua todas as tarefas de uma etapa antes de passar para a próxima etapa. Cada linha da tabela lista tarefas e identifica as funções necessárias para executar as tarefas. Os tópicos numerados do guia de instalação e configuração também são referenciados.

    Funções necessárias: As funções são listadas para cada etapa abaixo.

    Procedimento

    1. Como um usuário com Now Platformfunção de administrador, configure seu Now Platforminstância.
      • Atribua usuários com as funções sn_si.admin e sn_si.analista conforme necessário.
      • Instale e configure um MID Server se Splunko servidor está implantado em sua rede corporativa.
      • Verifique se ServiceNow Resposta a incidentes de segurançaos plug-ins estão ativados para sua versão do Now Platform.
      • Se você quiser encaminhar eventos manualmente do Splunk Enterpriseconsole em seu Now Platform, verifique se você atribuiu a função (sn_sec_splunk_v2.api_account_access) a um usuário com Splunk Enterprisepermissão de administrador empresarial.

      Para obter mais informações, consulte Configure seu Now Platforminstância do Splunk Enterprise Event Ingestionintegração.

      Você concluiu com sucesso as etapas de configuração e verificou os resultados esperados para a integração.
    2. Como um usuário com Now Platformfunção de administrador, instalar e configurar o. Splunk Enterprise Event Ingestionaplicação do ServiceNow Store.
      1. Baixe e instale o aplicativo em seu Now Platforminstância.
      2. Configure a aplicação e conecte-se ao seu Splunk Enterpriseconsole.

      Para obter mais informações, consulte Instale e configure o. ServiceNowaplicação para Splunk Enterprise Event Ingestionintegração.

    3. Opcional: Se você pretende exportar eventos manualmente do Splunk Enterpriseconsole para seu Now Platformexecute as seguintes tarefas:
      1. . Splunk Enterpriseadministrador, instale, configure e habilite o. ServiceNowComplemento de ingestão de evento de operações de segurança para Splunk Enterpriseda base de splunkno seu Splunk Enterpriseconsole.
      2. . Splunk Enterpriseadministrador, se ainda não estiver configurado, salve as pesquisas como alertas no Splunk Enterpriseconsole.

        Para obter mais informações, consulte Configure seu Splunkambiente para ingestão manual de eventos para Splunk Enterpriseintegração de ingestão de evento e Salve pesquisas em Splunk Enterpriseconsole para Splunk Enterprise Event Ingestionintegração.

    4. Como um usuário com Now Platformsn_si.admin, crie e nomeie um perfil de evento.

      Selecione o tipo de perfil na lista de seleção. As opções são um perfil de alerta agendado que você usa para ingerir dados de amostra ou um perfil de evento que você usa para exportar dados de anexo manualmente do Splunk Enterpriseconsole.

      • Para um alerta agendado, selecione um alerta disponível.
      • Para perfil para dados exportados manualmente, crie um novo mapa ou copie um mapa existente.

      Para obter mais informações, consulte Crie e nomeie um perfil de evento para Splunk Enterprise Event Ingestionintegração.

    5. Como um usuário com Now Platformsn_si.admin, valores de mapa ingeridos ou dados de anexo exportados de Splunk Enterprisepara Now Platformincidentes de segurança.
      1. Buscar dados de amostra para um alerta agendado.
      2. Exporte dados do anexo manualmente de Splunk Enterprisepara um evento.
      3. Edite a configuração de mapeamento padrão.
      4. Opcionalmente, adicione critérios de filtragem, anexe um alerta a um incidente de segurança existente e use o editor de scripts.

      Para obter mais informações, consulte Mapeando alertas e eventos para Splunk Enterprise Event Ingestionintegraçãoe. Alertas do mapa para Splunk Enterprise Event Ingestionintegração.

    6. Como um usuário com Now Platformfunção sn_si.admin, visualize os dados de Splunk Enterpriseque é exibido em um Now Platformincidente de segurança.

      Corrija erros ou adicione dados ausentes para que nenhuma mensagem de erro seja exibida.

      Para obter mais informações, consulte Visualize o incidente de segurança do Splunk Enterprise Event Ingestionintegração.

    7. Como um usuário com Now Platformfunção sn_si.admin, programar recuperação de alerta para um perfil com um alerta agendado.

      Para obter mais informações, consulte Programe e recupere alertas para Splunk Enterprise Event Ingestionintegração.