Installez et configurez l’application ServiceNow pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Avant d’exécuter l’intégration sur votre Now Platform® instance, effectuez ces étapes d’installation et de configuration afin que l’application s’intègre correctement aux Réponse aux incidents de sécurité produits sur Opérations de sécurité votre Now Platform® instance.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Si vous n’avez pas installé l’application Splunk Enterprise Event Ingestion à partir de pour ServiceNow Store l’intégration, consultez Installer une Opérations de sécurité intégration et suivez les étapes pour l’installer.
    2. Une fois l’application installée, accédez à Intégrations > Configurations des intégrations et localisez la vignette Ingestions d’événements Splunk .
    3. Pour configurer l’application, cliquez sur Nouveau.
      Nouvelle vignette de configuration Splunk.
    4. Sinon, si un bouton Configurer est affiché sur une tuile, cliquez dessus pour modifier une configuration existante.
    5. Dans la boîte de dialogue Configuration des ingestions d’événements qui s’affiche, renseignez les champs.
      ChampDescription
      Nom Nom de la console ou Splunk Cloud de l’instance Splunk Enterprise utilisée pour l’intégration.

      Les espaces sont pris en charge pour les noms, mais les parenthèses ne sont pas prises en charge. Par exemple, entrez HQ-USA, ou HQ USA.
      URL de Base de l'API Splunk URL de votre Splunk Enterprise console ou Splunk Cloud instance.
      Authentification de base Désactivé par défaut.

      Si vous utilisez le nom d’utilisateur du compte API et le mot de passe de l’API pour la configuration, cochez la case.
      Nom d’utilisateur du compte API Nom d’utilisateur que vous avez créé pour votre compte utilisateur individuel sur la Splunk Enterprise console.
      Mot de passe de l’API Mot de passe que vous avez créé pour votre compte utilisateur individuel sur la Splunk Enterprise console.
      Basé sur un jeton (disponible à partir de la version 12.0.0)

      Authentification basée sur les jetons que vous avez créée pour votre compte d’utilisateur d’API sur la Splunk Enterprise console.
      Jeton Jeton que vous avez créé pour votre compte d’utilisateur d’API sur la Splunk Enterprise console.
      Serveur MID Serveur MID spécifique configuré dans votre environnement. Seuls les serveurs MID actifs et validés sont disponibles dans cette liste de choix.
      Déploiement sur site Désactivé par défaut.

      Si vous utilisez la version cloud de Splunk Enterprise, vérifiez que la case est décochée.

      Si cette option est activée, la liste de choix Serveur MID s’affiche. Si vous utilisez une version locale de Splunk Enterprise, procédez comme suit pour sélectionner un Serveur MID.

      1. Cochez la case.

        Une liste de choix s’affiche. La valeur par défaut est N’importe lequel.

      2. Sélectionnez N’importe lequel uniquement si ce Serveur MID est configuré pour l’intégrationSplunk Enterprise Event Ingestion.
      3. Dans la liste de choix, sélectionnez le Now Platform® serveur MID que vous avez configuré dans votre instance pour cette intégration spécifique.

      La figure suivante est un exemple de formulaire rempli pour la configuration d’une version locale d’avec Splunk Enterprise un serveur MID.

      Formulaire de configuration avec les champs renseignés.

      Chaque Splunk Enterprise alerte que vous ingérez à partir de votre Splunk Enterprise console nécessite un profil d’événement unique dans votre Now Platform® instance. Toutefois, la source que vous configurez dans le formulaire Configuration des ingestions d’événements peut être réutilisée pour plusieurs Now Platform® profils tant que chaque profil ingère des alertes déclenchées uniques Splunk .

    6. Cliquez sur Envoyer.
      Une fois la validation terminée, la page Intégrations de sécurité s’affiche avec chacune de vos configurations. Sur chaque vignette de configuration valide, les boutons Configurer et Supprimer s’affichent comme illustré dans la figure suivante.
      Remarque :
      Vous devez utiliser uniquement l’authentification de base ou l’authentification basée sur les jetons. Activez l’une des authentifications et saisissez les détails de l’authentification correspondants. L’activation des deux affichera une erreur.

      Une fois validée et soumise, chaque configuration de serveur d’ingestions d’événements est enregistrée sur la page Intégrations Splunk de sécurité sous forme de tuile. Si les tuiles de configuration que vous avez enregistrées ne s’affichent pas sur la page Intégrations de sécurité, dans le coin supérieur droit de la page, dans la liste de choix Afficher les configurations, cliquez sur Oui.

      Formulaire de configuration pour la configuration de l’ingestion d’événements Splunk Enterprise.

    Si un message d’erreur s’affiche après avoir cliqué sur Soumettre, saisissez à nouveau vos informations et cliquez sur Soumettre.

    Que faire ensuite

    Vous avez correctement installé et configuré l’application. L’étape suivante consiste à créer un profil d’événement.