Configurer ServiceNow le complément d’ingestion des événements Security Operations pour Splunk ES

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Le ServiceNow module complémentaire d’ingestion d’événements Security Operations pour Splunk ES permet une intégration transparente entre Splunk et ServiceNow Security Operations, ce qui vous permet d’envoyer des événements liés à la sécurité de Splunk vers ServiceNow un incident de sécurité. Pour obtenir des instructions détaillées sur le téléchargement et l’installation de l’add, suivez les étapes décrites dans ce guide.

    Avant de commencer

    Vérifiez que vous avez installé l’application pour cette intégration avant ServiceNow Store d’installer le module d’extension du module d’extension à partir de splunkbase requis pour l’ingestion manuelle d’événements. Si vous n’avez pas installé l’application pour l’intégration à partir du ServiceNow Store, consultez Installez et configurez l’application pour l’intégration ServiceNowSplunk Enterprise Event Ingestion et suivez les instructions pour l’installer.

    Rôle requis : ServiceNow AI Platform administrateur (admin)

    Pourquoi et quand exécuter cette tâche

    Important :

    Créez un profil de transfert manuel d’événements pour transférer des événements à la demande à partir de votre Splunk Enterprise Security console afin de créer une réponse aux incidents de sécurité (SIR) sur l’instance ServiceNow . Pour plus d'informations, consultez Créer et nommer un profil d’événement.

    Cette configuration du module complémentaire est nécessaire pour activer le transfert manuel d’événements pour le profil Splunk. Jusqu’à deux configurations peuvent être créées pour un module complémentaire particulier. (Splunk primaire et Splunk secondaire)

    Pour le transfert manuel d’événements, vous pouvez identifier jusqu’à deux points de terminaison différents ServiceNow AI Platform (instances) dans votre Splunk Enterprise console. Vous transférez manuellement les événements au(x) point(s) de terminaison(s) pour créer des incidents de sécurité. Par exemple, vous pouvez spécifier à la fois une instance intermédiaire (de développement) et une instance de production. En spécifiant des instances distinctes et en nommant des workflows primaires et secondaires pour chaque instance, vous pouvez choisir où vous souhaitez transférer différents événements.

    Procédure

    1. Si vous n’avez pas encore installé le module complémentaire d’ingestion d’événements ServiceNow Security Operations pour Splunk ES, procédez comme suit pour l’installer et le configurer.
      1. Téléchargez le module complémentaire d’ingestion d’événements ServiceNow Security Operations pour Splunk ES à partir de Splunkbase.
      2. Si vous y êtes invité, redémarrez le fichier Splunk Enterprise.
        Le module complémentaire d’ingestion d’événements pour les opérations de sécurité de ServiceNow pour Splunk ES est installé dans votre Splunk Enterprise console d’entreprise. L’étape suivante consiste à configurer le module complémentaire.
    2. Pour configurer le module complémentaire, procédez comme suit.
      1. Dans le Splunk Enterprise, sélectionnez l’icône d’engrenage Gérer les applications dans la liste déroulante du menu.
      2. Dans la liste des applications, recherchez des applications ServiceNow à l’aide du filtre.
      3. Recherchez le module complémentaire d’ingestion d’événements pour les opérations de sécurité ServiceNow pour Splunk ES, puis sélectionnez l’action de configuration correspondante.
        Le module complémentaire d’ingestion d’événements pour les opérations de sécurité de ServiceNow pour Splunk ES est configuré en trois onglets différents.
        • Splunk Primary : configuration Splunk par défaut ou principale.
        • Splunk secondaire : (facultatif) la configuration de sauvegarde ou la deuxième configuration Splunk.
        • Niveau de connexion : niveau des journaux de génération de rapports générés par l’intégration, c’est-à-dire le nom du type d’information.
      4. Sélectionnez l’onglet Splunk Principal .
      5. Remplissez les champs du formulaire.
        Tableau 1. Splunk primaire
        Champ Description
        Étiquette de l’action du workflow Nom de l’instance.

        Il s’agit d’une action dans la liste déroulante des actions d’événement dans Enterprise Security.
        URL URL de l’instance ServiceNow que vous avez saisie dans le champ précédent d’étiquette d’action de workflow.
        Point de terminaison Chemin de l’API de base.

        La valeur par défaut pour ce champ est : /api/sn_sec_splunkes/notable_event_ingestion.
        Type d'authentification Méthode d’authentification à utiliser pour les demandes d’API. Les options disponibles sont les suivantes :
        • Authentification de base : utilise un nom d’utilisateur et un mot de passe pour authentifier les demandes.
        • Authentification OAuth 2.0 : utilise des jetons d’accès pour authentifier les demandes.
        Authentification de base
        Nom d'utilisateur Nom d'utilisateur de l'utilisateur

        Un utilisateur ayant le rôle (sn_sec_splunkes.api_account_access) doit être présent dans l’instance spécifiée dans le champ URL précédent pour le transfert manuel d’événement.

        Pour plus d’informations sur l’affectation de ce rôle, reportez-vous à la section Configurez votre ServiceNow AI Platform instance pour l’intégration Splunk Enterprise Event Ingestion.
        Mot de passe Mot de passe de l’utilisateur.

        Un utilisateur ayant le rôle (sn_sec_splunkes.api_account_access) doit être présent dans l’instance spécifiée dans le champ URL précédent pour le transfert manuel d’événement.
        Confirmer le mot de passe Entrez à nouveau le mot de passe pour le confirmer.
        Authentification OAuth 2.0
        ID client ID client de l’application créée dans l’instance ServiceNow.

        Pour en savoir plus sur l’obtention de l’ID client, reportez-vous à la section Configurez le registre d’application sur l’instance ServiceNow.
        Secret client Secret client de l’application créée dans l’instance ServiceNow.

        Pour plus d’informations sur l’obtention du secret client, reportez-vous à la section Configurez le registre d’application sur l’instance ServiceNow.
        URL de redirection

        Copiez et collez cette URL dans le champ URL de redirection de l’enregistrement des registres d’application.
      6. Sélectionnez Enregistrer.
      7. Sélectionnez l’onglet secondaire Splunk .
      8. Remplissez les champs du formulaire.
        Les champs sont identiques à ceux de l’onglet primaire Splunk.
      9. Sélectionnez Enregistrer.
        Remarque :
        Jusqu’à deux configurations peuvent être créées pour un module complémentaire particulier. (Authentification de base et autre authentification OAuth 2.0)
      10. Sélectionnez l’onglet Niveau de journalisation .
      11. Remplissez les champs du formulaire.
        Tableau 2. Niveau de connexion
        Champ Description
        Niveau de journal Niveau des journaux de génération de rapports générés par l’intégration, c’est-à-dire le nom du type d’information. Vous pouvez également mettre à jour la valeur selon les options suivantes :
        • infos
        • erreur
        • avertir
        • déboguer

        Par défaut, la valeur est info.
      12. Sélectionnez Enregistrer.

    Que faire ensuite

    Utilisation ServiceNow du module complémentaire d’ingestion d’événements Security Operations pour Splunk ES