Como um usuário com ServiceNow AI Platform função de administrador, configure seu ServiceNow AI Platform instância.

• Atribuir usuários com sn_si.ingestion_profile_admin (ou sn_si.admin) e sn_si.analyst conforme necessário.
• Instale e configure um MID Server se o Splunk o servidor está implantado em sua rede corporativa.
• Verifique se o ServiceNow Resposta a incidentes de segurança os plug-ins estão ativados para sua versão do ServiceNow AI Platform.
• (Opcional) Se você quiser encaminhar eventos manualmente do seu Splunk Enterprise Security console em seu ServiceNow AI Platform, verifique se você atribuiu a função (sn_sec_splunkes.api_account_access) a um usuário com Splunk Enterprise Security permissão de administrador.

Para obter mais informações, consulte Configure seu ServiceNow AI Platform instância do Splunk Enterprise Security integração.

Como um usuário com ServiceNow AI Platform função de administrador, instale e configure o. Splunk Enterprise Security aplicação do ServiceNow Store.

1. Baixe e instale o aplicativo em seu ServiceNow AI Platform instância.
2. Configure a aplicação e conecte-se ao seu Splunk Enterprise Security console.

Para obter mais informações, consulte Instalar e configurar Splunk Enterprise Security Integração de ingestão de evento notável.

(Opcional) Se você pretende exportar eventos manualmente do seu Splunk Enterprise Security console para seu ServiceNow AI Platform execute as seguintes tarefas:

• . Splunk Enterprise Security administrador, instale, configure e habilite o. ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise Security do splunkbase em seu Splunk Enterprise Security console.
• . Splunk Enterprise Security se ainda não estiver configurado, salve as pesquisas como eventos notáveis em seu Splunk Enterprise Security console.

Para obter mais informações, consulte Configure seu Splunk ambiente para ingestão manual de eventos para Splunk Enterprise Security Integração de ingestão de evento notável.

Como um usuário com ServiceNow AI Platform sn_si.ingestion_profile_admin criar e nomear um perfil de evento.

Selecione o tipo de perfil na lista de seleção. As opções são um perfil de alerta programado que você usa para ingerir dados de amostra ou um perfil de evento que você usa para exportar dados de anexo manualmente do seu Splunk Enterprise Security console.

• Para um alerta programado, selecione um alerta disponível.
• Para perfil para dados exportados manualmente, crie um novo mapa ou copie um mapa existente.

Para obter mais informações, consulte Crie e nomeie um perfil de evento para Splunk Enterprise Security integração de ingestão de evento.

Como um usuário com ServiceNow AI Platform sn_si.ingestion_profile_admin valores de função, mapa ingeridos ou dados de anexo que são exportados de Splunk Enterprise Security. ServiceNow AI Platform incidentes de segurança.

1. Buscar dados de amostra para um alerta programado.
2. (Opcional) Exporte dados de anexo manualmente de Splunk Enterprise Security para um evento.
3. Edite a configuração de mapeamento padrão.
4. Opcionalmente, adicione critérios de filtragem, anexe um alerta a um incidente de segurança existente e use o editor de scripts.

Para obter mais informações, consulte Mapeamento de campos de evento notável para Splunk Enterprise Security integração e Criar mapeamentos para Splunk ES revisão de incidente de evento notável e detalhes do evento de contribuição (ingestão programada).

• Como um usuário com ServiceNow AI Platform sn_si.ingestion_profile_admin visualizar os dados de Splunk Enterprise exibido em um ServiceNow AI Platform incidente de segurança.
• Corrija erros ou adicione dados ausentes para que nenhuma mensagem de erro seja exibida.

Para obter mais informações, consulte Visualize o incidente de segurança do Splunk Enterprise Security Integração de ingestão de evento.