Instale e configure o. ServiceNow aplicação para Splunk Enterprise Event Ingestion integração
Antes de executar a integração no seu ServiceNow AI Platform®, conclua estas etapas de instalação e configuração para que a aplicação se integre corretamente ao Resposta a incidentes de segurança e. Operações de segurança produtos em seu ServiceNow AI Platform® instância.
Antes de Iniciar
Função necessária: sn_si.ingestion_profile_admin
Procedimento
-
Para configurar a aplicação, clique em Novo .
-
Na caixa de diálogo Configuração de ingestões de evento exibida, preencha os campos.
Campo Descrição Nome Nome do Splunk Enterprise console ou Splunk Cloud instância usada para a integração. Espaços são compatíveis com nomes, mas parênteses não são compatíveis. Por exemplo, insira HQ-EUA ou SEDE EUA .
URL base da API Splunk URL do Splunk Enterprise console ou Splunk Cloud instância. Autenticação básica O padrão é desabilitado. Se você estiver usando o Nome de usuário da conta de API e a Senha da API para configuração, habilite a caixa de seleção.
Nome de usuário da conta da API Nome de usuário que você criou para sua conta de usuário individual no Splunk Enterprise console. Senha da API Senha que você criou para sua conta de usuário individual no Splunk Enterprise console. Baseado em token (disponível a partir da versão 12,0.0) Autenticação baseada em token que você criou para sua conta de usuário de API no Splunk Enterprise console.
Token Token que você criou para sua conta de usuário de API no Splunk Enterprise console. MID Server MID Server específico que está configurado em seu ambiente. Somente MID Servers ativos e validados estão disponíveis nesta lista de seleção. Implantação no Local O padrão é desabilitado. Se você estiver usando a versão baseada em nuvem de Splunk Enterprise verifique se a caixa de seleção está desmarcada.
Se esta opção estiver habilitada, a lista de seleção DO MID Server será exibida. Se você estiver usando uma versão no local de Splunk Enterprise, Siga estas etapas para selecionar um MID Server.
- Marque a caixa de seleção.
Uma lista de seleção é exibida. O padrão é Qualquer .
- Selecione Qualquer Somente se este MID Server estiver configurado para Splunk Enterprise Event Ingestion integração.
- Na lista de seleção, selecione ServiceNow AI Platform® MID Server que você configurou em sua instância para esta integração específica.
A figura a seguir é um exemplo de um formulário preenchido para uma configuração de uma versão no local de Splunk Enterprise Com um MID Server.
Cada um Splunk Enterprise alerta que você ingesta do seu Splunk Enterprise o console requer um perfil de evento exclusivo em seu ServiceNow AI Platform® instância. No entanto, a origem que você configura no formulário Configuração de ingestões de evento pode ser reutilizada para vários ServiceNow AI Platform® perfis, desde que cada perfil ingere exclusivo Splunk alertas acionados.
- Marque a caixa de seleção.
-
Clique em Enviar.
Depois que a validação for concluída com sucesso, a página Integrações de segurança será exibida com cada uma das suas configurações. Em cada bloco de configuração válido, Configurar e. Excluir os botões são exibidos conforme mostrado na figura a seguir.Nota:Você precisa usar Autenticação básica ou Autenticação baseada em token somente. Habilite uma das autenticações e insira os detalhes de autenticação correspondentes. Habilitar ambos exibirá um erro.
Cada evento é validado e enviado com sucesso Splunk A configuração do servidor é salva na página Integrações de segurança como um bloco. Se os blocos de configuração salvos não forem exibidos na página Integrações de segurança, no canto superior direito da página, na lista de seleção Mostrar configurações, clique em Sim .
Se uma mensagem de erro for exibida depois que você clicar em Enviar insira suas informações novamente e clique em Enviar .
O que Fazer Depois
Você instalou e configurou a aplicação com sucesso. A próxima etapa é criar um perfil de evento.