Installez et configurez l’application ServiceNow pour l’intégration de l’ingestion d’événements Splunk Enterprise Security notables

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Avant d’exécuter l’intégration sur votre Now Platform® instance, effectuez ces étapes d’installation et de configuration afin que l’application s’intègre correctement aux Réponse aux incidents de sécurité produits sur Opérations de sécurité votre Now Platform® instance.

    Avant de commencer

    Rôle requis : ess_analyst

    Affectez un rôle d’utilisateur Analyste de la sécurité (ess_analyst) dans Splunk ES pour effectuer toutes les activités liées à l’intégration sur le serveur Splunk.

    Procédure

    1. Si vous n’avez pas installé l’application d’ingestion d’événements Splunk Enterprise Security à partir de pour ServiceNow Store l’intégration, consultez Installer une Opérations de sécurité intégration et suivez les étapes pour l’installer.
    2. Une fois l’application installée, accédez à Intégrations > Configurations des intégrations et localisez la vignette Ingestions d’événements Splunk .
    3. Pour configurer l’application, cliquez sur Nouveau.

      Vignette Ingestions d’événements Splunk
    4. Sinon, si un bouton Configurer est affiché sur une tuile, cliquez dessus pour modifier une configuration existante.
    5. Dans la boîte de dialogue Configuration des ingestions d’événements qui s’affiche, renseignez les champs.
      ChampDescription
      Nom Nom de la console ou Splunk Cloud de l’instance Splunk Enterprise Security utilisée pour l’intégration.

      Les espaces sont pris en charge pour les noms, mais les parenthèses ne sont pas prises en charge. Par exemple, entrez SplunkES2.
      URL de Base de l'API Splunk URL de votre Splunk Enterprise Security console ou Splunk Cloud instance. L’URL doit inclure le port de l’API, par exemple : https://mysplunkserver.com:8089
      Authentification de base Désactivé par défaut.

      Si vous utilisez le nom d’utilisateur du compte API et le mot de passe de l’API pour la configuration, cochez la case.
      Nom d’utilisateur du compte API Nom d’utilisateur que vous avez créé pour votre compte d’utilisateur d’API sur la Splunk Enterprise Security console.
      Mot de passe de l’API Mot de passe que vous avez créé pour votre compte d’utilisateur d’API sur la Splunk Enterprise Security console.
      Basé sur un jeton (disponible à partir de la version 12.0.0) Jeton que vous avez créé pour votre compte d’utilisateur d’API sur la console Splunk Enterprise Security.
      Jeton Jeton que vous avez créé pour votre compte d’utilisateur d’API sur la console de sécurité d’entreprise Splunk .
      Déploiement sur site Désactivé par défaut.

      Si vous utilisez une version sur site de Splunk Enterprise Security, vérifiez que cette case est cochée.
      Serveur MID Option permettant de choisir un Serveur MID particulier à configurer dans votre environnement, qui sera utilisé par cette intégration pour extraire des événements notables dans ServiceNow.
      Vous pouvez sélectionner un serveur MID spécifique dans la liste ou sélectionner N’importe lequel pour permettre la sélection automatique d’un serveur MID valide dans la liste pour cette intégration.
      Remarque :
      • Le serveur MID sélectionné pendant ce temps de configuration s’applique tout au long de cette intégration.
      • Seuls les serveurs MID actifs et validés sont affichés dans cette liste. Par défaut, la valeur est définie sur Quelconque.

      Par exemple, il existe trois serveurs MID A, B et C. Si vous sélectionnez N’importe lequel, l’un de ces MID Servers est sélectionné automatiquement et s’applique à l’ensemble de cette intégration. Si vous sélectionnez un serveur MID spécifique, par exemple C, le serveur MID C sélectionné s’applique tout au long de cette intégration.

      Si vous souhaitez modifier le Serveur MID, vous devez le reconfigurer à partir de la vignette Configuration de l’application.
      La figure suivante est un exemple de formulaire rempli pour la configuration d’une version locale d’avec Splunk Enterprise Security un serveur MID.
      Ingestion d’événement Splunk

      Chaque Splunk Enterprise Security type d’événement notable que vous ingérez à partir de votre Splunk Enterprise Security console d’examen des incidents nécessite un profil d’événement unique dans votre Now Platform® instance. Toutefois, la source que vous configurez dans le formulaire Configuration des ingestions d’événements peut être réutilisée pour plusieurs Now Platform® profils tant que chaque profil ingère des types d’événements notables uniques.

    6. Cliquez sur Envoyer.
      Une fois la validation terminée, la page Intégrations de sécurité s’affiche avec chacune de vos configurations. Sur chaque vignette de configuration valide, les boutons Mettre à jour et Supprimer s’affichent, comme illustré dans la figure suivante.
      Remarque :
      Les utilisateurs doivent utiliser soit l’authentification de base, soit l’authentification basée sur les jetons. L’activation des deux générera l’erreur suivante.
      Configuration de l’ingestion d’événements Splunk
      Remarque :
      Si les utilisateurs préfèrent mettre à jour les tuiles de configuration existantes en fonction des jetons, ils doivent activer Activez ce paramètre pour mettre à jour les configurations sources existantes Splunk pour le paramètre de prise en charge de l’authentification basée sur les jetons dans Splunk le module Paramètres d’entreprise.

      Bouton Mettre à jour/Supprimer

      Une fois validée et soumise, chaque configuration de serveur d’ingestions d’événements est enregistrée sur la page Intégrations Splunk de sécurité sous forme de tuile. Si vos tuiles de configuration enregistrées ne s’affichent pas sur la page Intégrations de sécurité, dans le coin supérieur droit de la page, dans la liste Afficher les configurations, sélectionnez Oui.

    Que faire ensuite

    Vous avez correctement installé et configuré l’application. L’étape suivante consiste à créer un profil d’événement.