Check-list para Splunk Enterprise Event Ingestion integração

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Use esta check-list para orientá-lo em todas as tarefas da integração. A check-list a seguir inclui tarefas de configuração e instalação e exemplos de casos de uso que incluem resultados esperados para a integração.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Acompanhe seu andamento com a instalação, a instalação e a configuração da integração com a tabela a seguir. Conclua todas as tarefas de uma etapa antes de passar para a próxima etapa. Cada linha da tabela lista tarefas e identifica as funções necessárias para executar as tarefas. Tópicos numerados do guia de instalação e configuração também são referenciados.

    Funções necessárias: As funções são listadas para cada etapa abaixo.

    Procedimento

    1. Como um usuário com ServiceNow AI Platform função de administrador, configure seu ServiceNow AI Platform instância.
      • Atribuir usuários com sn_si.ingestion_profile_admin (ou sn_si.admin) e sn_si.analyst conforme necessário.
      • Instale e configure um MID Server se o Splunk o servidor está implantado em sua rede corporativa.
      • Verifique se o ServiceNow Resposta a incidentes de segurança os plug-ins estão ativados para sua versão do ServiceNow AI Platform.
      • Se você quiser encaminhar eventos manualmente do seu Splunk Enterprise console em seu ServiceNow AI Platform, verifique se você atribuiu a função (sn_sec_splunk_v2.api_account_access) a um usuário com Splunk Enterprise permissão de administrador da empresa.

      Para obter mais informações, consulte Configure seu ServiceNow AI Platform instância do Splunk Enterprise Event Ingestion integração.

      Você concluiu com sucesso as etapas de configuração e verificou os resultados esperados para a integração.
    2. Como um usuário com ServiceNow AI Platform função de administrador, instale e configure o. Splunk Enterprise Event Ingestion aplicação do ServiceNow Store.
      1. Baixe e instale o aplicativo em seu ServiceNow AI Platform instância.
      2. Configure a aplicação e conecte-se ao seu Splunk Enterprise console.

      Para obter mais informações, consulte Instale e configure o. ServiceNow aplicação para Splunk Enterprise Event Ingestion integração.

    3. Opcional: Se você pretende exportar eventos manualmente do seu Splunk Enterprise console para seu ServiceNow AI Platform execute as seguintes tarefas:
      1. . Splunk Enterprise administrador, instale, configure e habilite o. ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise do splunkbase em seu Splunk Enterprise console.
      2. . Splunk Enterprise se ainda não estiver configurado, salve as pesquisas como alertas em Splunk Enterprise console.

        Para obter mais informações, consulte Configure seu Splunk ambiente para ingestão manual de eventos para Splunk Enterprise integração de ingestão de evento e Salve pesquisas em seu Splunk Enterprise console para Splunk Enterprise Event Ingestion integração.

    4. Como um usuário com ServiceNow AI Platform sn_si.ingestion_profile_admin criar e nomear um perfil de evento.

      Selecione o tipo de perfil na lista de seleção. As opções são um perfil de alerta programado que você usa para ingerir dados de amostra ou um perfil de evento que você usa para exportar dados de anexo manualmente do seu Splunk Enterprise console.

      • Para um alerta programado, selecione um alerta disponível.
      • Para perfil para dados exportados manualmente, crie um novo mapa ou copie um mapa existente.

      Para obter mais informações, consulte Crie e nomeie um perfil de evento.

    5. Como um usuário com ServiceNow AI Platform sn_si.ingestion_profile_admin valores de função, mapa ingeridos ou dados de anexo que são exportados de Splunk Enterprise. ServiceNow AI Platform incidentes de segurança.
      1. Buscar dados de amostra para um alerta programado.
      2. Exporte dados de anexo manualmente de Splunk Enterprise para um evento.
      3. Edite a configuração de mapeamento padrão.
      4. Opcionalmente, adicione critérios de filtragem, anexe um alerta a um incidente de segurança existente e use o editor de scripts.

      Para obter mais informações, consulte Mapeamento de alertas e eventos para Splunk Enterprise Event Ingestion integração e Alertas de mapa para Splunk Enterprise Event Ingestion integração.

    6. Como um usuário com ServiceNow AI Platform sn_si.ingestion_profile_admin visualizar os dados de Splunk Enterprise exibido em um ServiceNow AI Platform incidente de segurança.

      Corrija erros ou adicione dados ausentes para que nenhuma mensagem de erro seja exibida.

      Para obter mais informações, consulte Visualize o incidente de segurança do Splunk Enterprise Event Ingestion integração.

    7. Como um usuário com ServiceNow AI Platform sn_si.ingestion_profile_admin programar recuperação de alerta para um perfil com um alerta programado.

      Para obter mais informações, consulte Programar e recuperar alertas para Splunk Enterprise Event Ingestion integração.