Configure seu ServiceNow AI Platform instância do Splunk Enterprise Security integração

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • A seção a seguir lista as tarefas de configuração que você deve concluir em ServiceNow AI Platform® instância antes de instalar a aplicação do ServiceNow Store.

    Função necessária: sn_si.ingestion_profile_admin.

    Nota:
    Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

    Consulte a tabela a seguir e verifique se você concluiu todas as tarefas listadas antes de baixar e instalar a aplicação para garantir uma instalação e configuração suaves.

    1. Verifique se você atribuiu o necessário ServiceNow AI Platform® e. Resposta a incidentes de segurança( SIR) funções.

      As funções a seguir são necessárias para a instalação, a configuração e o uso da integração em seu ServiceNow AI Platform® instância.

      • Um usuário com ServiceNow AI Platform® a função de administrador (admin) instala a aplicação do ServiceNow Store e atribui a função de administrador de incidentes de segurança (sn_si.admin).
      • Se você quiser encaminhar eventos notáveis manualmente de Splunk Enterprise Security para esta integração, um usuário com ServiceNow AI Platform® a função de administrador atribui um usuário com a função (sn_sec_splunkes.api_account_access) no ServiceNow AI Platform®. Esta função permite a um usuário com Splunk Enterprise Security Função de administrador para acessar a API no ServiceNow AI Platform® necessário para o encaminhamento manual de eventos para esta integração.

        A função (sn_sec_splunkes.api_account_access) não será necessária para a integração se você estiver ingerindo eventos notáveis automaticamente do Splunk Enterprise Security em seu ServiceNow AI Platform® instância.

      • Um usuário com sn_si.ingestion_profile_admin a função supervisiona as seguintes tarefas no ServiceNow AI Platform®:
        • Cria e edita perfis de evento.
        • Seleciona e mapeia valores de Splunk Enterprise Security. ServiceNow AI Platform® incidentes de segurança.
        • Visualiza os detalhes do incidente de segurança para obter precisão antes de finalizar a configuração.
        • Ingestão de eventos notáveis em andamento.
        • Habilita atualizações de eventos notáveis quando um incidente SIR é criado e encerrado.
        • Atribui a função de analista de incidentes de segurança (sn_si.analyst).
        • Usuários com sn_si.analyst trabalham com incidentes de segurança.

      Para obter mais informações, consulte Managing roles.

    2. Atribua o. Splunk função do usuário.

      Atribua uma função de usuário Analista de segurança (ess_analyst) em Splunk ES para executar todas as atividades relacionadas à integração no Splunk servidor.

    3. Verifique se você está usando a versão 7.2.6 ou posterior do Splunk API. Versões anteriores não são compatíveis.

      Se você tiver acesso ao Splunk Enterprise Security, você tem acesso à API necessária para esta integração. Não há outra configuração especial necessária para a API.

    4. Verifique se você instalou e configurou um MID Server.

      . MID Server em seu ServiceNow AI Platform® a instância é necessária para se conectar ao Splunk se o Splunk o servidor está implantado em sua rede corporativa. Para obter informações, consulte MID Server .

      Se você estiver usando Splunk Enterprise Security Serviço em nuvem, um MID Server não é necessário.

    5. Verifique se o ServiceNow as principais aplicações necessárias para oferecer suporte à integração são instaladas e ativadas.

      . Resposta a incidentes de segurança O plug-in de dependência (com.snc.si_dep) é necessário. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao Resposta a incidentes de segurança produto. Instale e ative este plug-in antes de instalar e ativar o outro Operações de segurança aplicações exigidas pela integração.

      Verifique o seguinte Operações de segurança as aplicações são instaladas e ativadas a partir do ServiceNow Store. Se não estiver instalado, instale e ative um aplicativo de cada vez na ordem a seguir para garantir uma instalação tranquila.

      1. Resposta a incidentes de segurança
      2. Framework de integração de segurança
      3. Suporte de segurança comum

      Para obter mais informações sobre como instalar o. Operações de segurança aplicações principais, consulte Obtenha direito para um Operações de segurança produto ou aplicação e. Ativar um ServiceNow Store aplicação.

    Você configurou com sucesso seu ServiceNow AI Platform® instância da integração. A próxima etapa é instalar o. Splunk Enterprise Security Aplicação de ingestão de evento notável do ServiceNow Store para a integração. Para obter mais informações, consulte Instalar e configurar Splunk Enterprise Security Integração de ingestão de evento notável.

    Se você quiser exportar eventos notáveis manualmente e sob demanda do seu Splunk Enterprise Security console para a integração, consulte Configure seu Splunk ambiente para ingestão manual de eventos para Splunk Enterprise Security Integração de ingestão de evento notável para obter mais informações.