Configure e habilite a integração do Splunk

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • A integração de aprimoramento do Splunk pesquisa seus logs e adiciona informações de detecção relevantes.

    Antes de Iniciar

    Para poder usar a Pesquisa Splunk, você deve baixá-la na ServiceNow Store.

    Função necessária: sn_sec_tisc.admin

    • O plug-in da Central de segurança de inteligência contra ameaças deve ser instalado e ativado antes que você possa usar a integração do Splunk Search.
    • Obtenha o Splunk e a Pesquisa Splunk e obtenha o URL base da API, o URL do link, o nome de usuário e a senha da sua instância do Splunk.

    Procedimento

    1. Usando sua instância, acesse Central de segurança de inteligência contra ameaças .
    2. Baixe a integração do ServiceNow Store.
    3. Quando a instalação estiver concluída, navegue até Espaços > Central de segurança de inteligência contra ameaças.
    4. Selecionar Integrações > Integrações de aprimoramento > Todas as integrações.
    5. Como alternativa, você pode navegar até Integrações > Integrações de aprimoramento > Todas as integrações > Pesquisa de Vistas
      As integrações configuradas aparecem como uma série de cartões.
    6. Em Pesquisa Splunk cartão, clique em Configurar novo aprimoramento para configurar Pesquisa Splunk integração.
    7. Preencha os campos no formulário Configurar novo aprimoramento.
      Tabela 1. Integração de aprimoramento
      Campo Descrição
      Nome Insira um nome para a configuração de pesquisa de detecções.
      Nome do fornecedor Nome do fornecedor Os detalhes do fornecedor selecionado são preenchidos por padrão. Por exemplo, Splunk.
      Tipo de Integração Tipo de integração que você selecionou. Por exemplo, Pesquisa de ameaças.
      Descrição Insira a descrição da integração do Splunk. Por exemplo, a integração de aprimoramento do Splunk ajuda na investigação de um observável, oferecendo suporte à consulta de logs na implantação do Splunk em relação a indicadores potencialmente maliciosos.
      Configuração de integração
      URL base da API Splunk O URL base que você adquiriu do site do Splunk.
      URL do Link [Opcional] O URL do link que se vincula à interface web do Splunk, quando disponível.
      Nome do usuário Seu nome de usuário do Elasticsearch Intel.
      Senha Sua senha do Intel Elasticsearch.
      Máx. de Linhas O número máximo de linhas que você deseja pesquisar.
      Resultado Mais Antigo (dias) Os primeiros resultados que você deseja ver em número de dias.
      Incluir amostras de dados brutos nos resultados da pesquisa Selecione esta opção para incluir amostras de dados brutos nos resultados da pesquisa de detecções. A quantidade de dados retornados depende da sua configuração na propriedade Número de linhas da propriedade de dados brutos em Propriedades de resposta a incidentes de segurança .
      Implantação no Local O ambiente implantado no local.
      MID Server Selecione Qualquer para usar qualquer MID Server ativo ou selecione um nome de MID Server específico.
      Nota:
      A configuração desta integração ativa fluxos de trabalho. Para gerenciar os fluxos de trabalho, navegue até o Editor de fluxo de trabalho.
    8. Clique em Salvar.
      Os detalhes da integração são validados e, por padrão, o status da integração do Splunk é desabilitado.
    9. Clique em Habilitar Para habilitar a integração do Splunk.

    Resultado

    Depois de configurado, o Splunk pode ser selecionado para executar a pesquisa de detecções em observáveis na Central de segurança de inteligência contra ameaças.