Instalar e configurar a aplicação ServiceNow para a integração Splunk Enterprise Event Ingestion
Antes de executar a integração em sua instância Now Platform®, conclua estas etapas de instalação e configuração para que a aplicação se integre corretamente aos produtos Security Incident Response e Operações de segurança em sua instância Now Platform®.
Antes de Iniciar
Função necessária: administrador
Procedimento
-
Para configurar a aplicação, clique em Novo.
-
Na caixa de diálogo Configuração de ingestões de eventos exibida, preencha os campos.
Campo Descrição Nome Nome do console [ Splunk Enterprise ou instância Splunk Cloud usada para a integração. Espaços são compatíveis com nomes, mas parênteses não são compatíveis. Por exemplo, insira HQ-EUAou HQ EUA.
URL base da API Splunk URL do console [ Splunk Enterprise ou instância Splunk Cloud. Autenticação básica O padrão é desabilitado. Se você estiver usando o nome de usuário da conta da API e a senha da API para configuração, marque a caixa de seleção.
Nome de usuário da conta da API Nome de usuário que você criou para sua conta de usuário individual no console do Splunk Enterprise. Senha da API Senha que você criou para sua conta de usuário individual no console Splunk Enterprise. Baseado em token (disponível a partir da versão 12.0.0) Autenticação baseada em token que você criou para sua conta de usuário de API no console Splunk Enterprise.
Token Token que você criou para sua conta de usuário de API no console Splunk Enterprise. MID Server MID Server específico que está configurado em seu ambiente. Somente MID Servers ativos e validados estão disponíveis nesta lista de seleção. Implantação no Local O padrão é desabilitado. Se você estiver usando a versão baseada em nuvem do Splunk Enterprise, verifique se a caixa de seleção está desmarcada.
Se esta opção estiver habilitada, a lista de seleção do MID Server será exibida. Se você estiver usando uma versão local do Splunk Enterprise, siga estas etapas para selecionar um MID Server.
- Marque a caixa de seleção.
Uma lista de seleção é exibida. O padrão é Qualquer.
- Selecione Qualquer somente se este MID Server estiver configurado para a integração Splunk Enterprise Event Ingestion.
- Na lista de seleção, selecione o Now Platform® MID Server que você configurou em sua instância para esta integração específica.
A figura a seguir é um exemplo de um formulário preenchido para uma configuração de uma versão local do Splunk Enterprise com um MID Server.
Cada alerta Splunk Enterprise que você ingere do console Splunk Enterprise requer um perfil de evento exclusivo em sua instância Now Platform®. No entanto, a origem que você configura no formulário Configuração de ingestões de eventos pode ser reutilizada para vários perfis Now Platform®, desde que cada perfil ingere alertas acionados Splunk exclusivos.
- Marque a caixa de seleção.
-
Clique em Enviar.
Depois que a validação for concluída com sucesso, a página Integrações de segurança será exibida com cada uma das suas configurações. Em cada bloco de configuração válido, os botões Configurar e Excluir são exibidos, conforme mostrado na figura a seguir.Nota:Você precisa usar somente a Autenticação básica ou a Autenticação baseada em token. Habilite uma das autenticações e insira os detalhes de autenticação correspondentes. Habilitar ambos exibirá um erro.
Depois de validada e enviada com sucesso, cada configuração de servidor de Ingestões de eventos Splunk é salva na página Integrações de segurança como um bloco. Se os blocos de configuração salvos não forem exibidos na página Integrações de segurança, no canto superior direito da página, na lista de seleção Mostrar configurações, clique em Sim.
Se uma mensagem de erro for exibida após você clicar em Enviar, insira suas informações novamente e clique em Enviar.
O que Fazer Depois
Você instalou e configurou a aplicação com sucesso. A próxima etapa é criar um perfil de evento.