Instalar e configurar Splunk Enterprise Security Integração de ingestão de evento notável

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Antes de executar a integração no seu ServiceNow AI Platform®, conclua estas etapas de instalação e configuração para que a aplicação se integre corretamente ao Resposta a incidentes de segurança e. Operações de segurança produtos em seu ServiceNow AI Platform® instância.

    Antes de Iniciar

    Função necessária: ess_analyst

    Atribua uma função de usuário Analista de segurança (ess_analyst) no Splunk ES para executar todas as atividades relacionadas à integração no servidor Splunk.

    Procedimento

    1. Se você não instalou o. Splunk Enterprise Security Aplicação de ingestão de evento do ServiceNow Store para obter a integração, consulte Instale um Operações de segurança integração e siga as etapas para instalá-lo.
    2. Depois de instalar a aplicação com sucesso, navegue até Integrações > Configurações de integrações e localize Splunk Bloco Ingestões de evento.
    3. Para configurar a aplicação, clique em Novo .

      Bloco Ingestões SplunkEvent
    4. Como alternativa, se for um Configurar é exibido em um bloco, clique nele para editar uma configuração existente.
    5. Na caixa de diálogo Configuração de ingestões de evento exibida, preencha os campos.
      CampoDescrição
      Nome Nome do Splunk Enterprise Security console ou Splunk Cloud instância usada para a integração.

      Espaços são compatíveis com nomes, mas parênteses não são compatíveis. Por exemplo, insira SplunkES2 .
      URL base da API Splunk URL do Splunk Enterprise Security console ou Splunk Cloud instância. O URL deve incluir a porta da API, por exemplo: https://mysplunkserver.com:8089
      Autenticação básica O padrão é desabilitado.

      Se você estiver usando o Nome de usuário da conta de API e a Senha da API para configuração, habilite a caixa de seleção.
      Nome de usuário da conta da API Nome de usuário que você criou para sua conta de usuário da API no Splunk Enterprise Security console.
      Senha da API Senha que você criou para sua conta de usuário de API no Splunk Enterprise Security console.
      Baseado em token (disponível a partir da versão 12,0.0) Token que você criou para sua conta de usuário de API no console do Splunk Enterprise Security.
      Token Token que você criou para sua conta de usuário de API no Splunk Console do Enterprise Security.
      Implantação no Local O padrão é desabilitado.

      Se você estiver usando uma versão baseada no local de Splunk Enterprise Security verifique se esta caixa de seleção está marcada.
      MID Server Opção para escolher um MID Server específico para configurar em seu ambiente, que será usado por esta integração para extrair eventos notáveis ServiceNow.
      Você pode selecionar um MID Server específico na lista ou selecionar Qualquer Para habilitar uma seleção automática de um MID Server válido na lista para esta integração.
      Nota:
      • O MID Server selecionado durante este tempo de configuração se aplica a toda esta integração.
      • Somente MID Servers ativos e validados são exibidos nesta lista. Por padrão, o valor é definido como Qualquer .

      Por exemplo, há três MID Servers A, B e C. Se você selecionar Qualquer Um desses MID Servers é selecionado automaticamente e se aplica a toda esta integração. Se você selecionar um MID Server específico, digamos C, o MID Server C selecionado se aplicará a toda esta integração.

      Se você quiser mudar o MID Server, será necessário reconfigurá-lo no bloco Configuração da aplicação.
      A figura a seguir é um exemplo de um formulário preenchido para uma configuração de uma versão no local de Splunk Enterprise Security Com um MID Server.
      Ingestão de evento Splunk

      Cada um Splunk Enterprise Security tipo de evento notável que você ingere do seu Splunk Enterprise Security o console de revisão de incidentes requer um perfil de evento exclusivo em seu ServiceNow AI Platform® instância. No entanto, a origem que você configura no formulário Configuração de ingestões de evento pode ser reutilizada para vários ServiceNow AI Platform® perfis, desde que cada perfil ingere tipos de evento notáveis exclusivos.

    6. Clique em Enviar.
      Depois que a validação for concluída com sucesso, a página Integrações de segurança será exibida com cada uma das suas configurações. Em cada bloco de configuração válido, Atualização e. Excluir os botões são exibidos conforme mostrado na figura a seguir.
      Nota:
      Os usuários precisam usar autenticação básica ou autenticação baseada em token. Habilitar ambos resultará no seguinte erro.
      Configuração de ingestão de evento do Splunk
      Nota:
      Se os usuários preferirem atualizar os blocos de configuração existentes para baseados em token, eles precisarão habilitar a ativação desta configuração para atualizar o existente Splunk configurações de origem para configuração de suporte à autenticação baseada em token em Splunk Módulo Configurações empresariais.

      Botão Atualizar/Excluir

      Cada evento é validado e enviado com sucesso Splunk A configuração do servidor é salva na página Integrações de segurança como um bloco. Se os blocos de configuração salvos não forem exibidos na página Integrações de segurança, no canto superior direito da página, na lista Mostrar configurações, selecione Sim .

    O que Fazer Depois

    Você instalou e configurou a aplicação com sucesso. A próxima etapa é criar um perfil de evento.