Configurer votre Now Platform instance pour l’intégration Splunk Enterprise Security

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • La section suivante répertorie les tâches de configuration que vous devez effectuer dans votre Now Platform® instance avant d’installer l’application à partir du ServiceNow Store.

    Rôle requis : admin.

    Reportez-vous au tableau suivant et vérifiez que vous avez effectué toutes les tâches répertoriées avant de télécharger et d’installer l’application afin de garantir une installation et une configuration fluides.

    1. Vérifiez que vous avez affecté les rôles et (SIR) requis.Now Platform®Réponse aux incidents de sécurité

      Les rôles suivants sont requis pour l’installation, la configuration et l’utilisation de l’intégration dans votre Now Platform® instance.

      • Un utilisateur disposant du rôle d’administrateur Now Platform® (admin) installe l’application à partir de et ServiceNow Store lui affecte le rôle d’administrateur d’incident de sécurité (sn_si.admin).
      • Si vous souhaitez transférer manuellement Splunk Enterprise Security des événements notables pour cette intégration, un utilisateur disposant du Now Platform® rôle administrateur affecte un utilisateur ayant le rôle (sn_sec_splunkes.api_account_access) dans le Now Platform®. Ce rôle permet à un utilisateur ayant le rôle d’administrateur Splunk Enterprise Security d’accéder à l’API dans le qui est requise pour le transfert manuel d’événements Now Platform® pour cette intégration.

        Le rôle (sn_sec_splunkes.api_account_access) n’est pas requis pour l’intégration si vous ingérez automatiquement des Splunk Enterprise Security événements notables depuis votre Now Platform® instance.

      • Un utilisateur disposant du rôle sn_si.admin supervise les tâches suivantes dans le Now Platform®:
        • nomme, crée et modifie les profils d’événements.
        • Sélectionne et mappe les valeurs depuis les Now Platform® incidents de Splunk Enterprise Security sécurité.
        • Prévisualise les détails de l’incident de sécurité pour plus d’exactitude avant de finaliser la configuration.
        • Planifie l’ingestion d’événements notables en cours.
        • Active les mises à jour d’événements notables lorsqu’un incident SIR est créé et fermé.
        • Affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst).
        • Les utilisateurs disposant du sn_si.analyst travaillent sur des incidents de sécurité.

      Pour en savoir plus, reportez-vous à Managing roles.

    2. Affectez le rôle d’utilisateur Splunk .

      Affecter un rôle d’utilisateur Analyste de la sécurité (ess_analyst) dans Splunk ES pour effectuer toutes les activités liées à l’intégration sur le Splunk serveur.

    3. Vérifiez que vous utilisez la version 7.2.6 ou ultérieure de l’API Splunk . Les versions antérieures ne sont pas prises en charge.

      Si vous avez accès à la Splunk Enterprise Security console, vous avez accès à l’API requise pour cette intégration. Aucune autre configuration spéciale n’est requise pour l’API.

    4. Vérifiez que vous avez installé et configuré un Serveur MID.

      A Serveur MID dans votre Now Platform® instance est nécessaire pour se connecter au service si le serveur est déployé au sein de SplunkSplunk votre réseau d’entreprise. (pour en savoir plus, consultez Serveur MID).

      Si vous utilisez le service dans le cloud, un n’est Splunk Enterprise SecurityServeur MID pas obligatoire.

    5. Vérifiez que les ServiceNow applications principales nécessaires à la prise en charge de l’intégration sont installées et activées.

      Le Réponse aux incidents de sécurité module d’extension Dependency (com.snc.si_dep) est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications requises par l’intégration.

      Vérifiez que les applications suivantes Opérations de sécurité sont installées et activées à partir du ServiceNow Store. Si elle n’est pas installée, installez et activez une application à la fois dans l’ordre suivant pour assurer une installation fluide.

      1. Security Incident Response
      2. Cadre de travail d’intégration de sécurité
        3. Structure
      3. de support de la sécurité commun

      Pour plus d’informations sur l’installation des Opérations de sécurité applications principales, consultez Obtenir une autorisation pour un produit ou une Opérations de sécurité application et Activer une ServiceNow Store application.

    Vous avez correctement configuré votre Now Platform® instance pour l’intégration. L’étape suivante consiste à installer l’application d’ingestion d’événements Splunk Enterprise Security notables à partir de pour ServiceNow Store l’intégration. Pour plus d'informations, consultez Installez et configurez l’application ServiceNow pour l’intégration de l’ingestion d’événements Splunk Enterprise Security notables.

    Si vous souhaitez exporter des événements notables manuellement et à la demande à partir de votre Splunk Enterprise Security console pour l’intégration, consultez Configurer votre Splunk environnement pour l’ingestion manuelle d’événements pour l’intégration de l’ingestion d’événements Splunk Enterprise Security notables pour plus d’informations.