Créer et nommer un profil d’événement pour l’intégration d’ingestion d’événements Splunk Enterprise Security
Vous créez un profil d’événement dans votre Now Platform instance et déterminez quels Splunk événements notables créent des incidents de sécurité.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
Avant Now Platform Réponse aux incidents de sécurité que les incidents de sécurité (SIR) ne soient créés à partir d’événements notables ingérés, les valeurs de champ des alertes sont affichées sur la mise en page d’un Now Platform incident de sécurité afin que vous puissiez prévisualiser la façon dont l’incident de sécurité réel sera créé.
Du point de vue de l’intégration, à l’aide des API disponibles, Splunk ES les événements notables sont transférés individuellement et manuellement en tant qu’événements notables discrets, ou ils sont automatiquement ingérés dans l’environnement Opérations de sécurité de votre Now Platform instance en fonction du type de profil défini.
Les workflows d’intégration ingèrent différents types d’événements notables, tels que des tentatives d’accès non autorisé et des logiciels malveillants, par exemple. Ces événements notables sont ingérés en fonction des profils que vous configurez dans l’environnement Opérations de sécurité de votre instance.
Tous les notables sont initialement ingérés pour un type de recherche de corrélation configuré dans un profil. Les notables ingérés peuvent ensuite être filtrés pour spécifier quels notables créent des incidents de sécurité. Par exemple, vous pouvez préférer les filtres qui créent des incidents de sécurité uniquement pour les événements notables identifiés comme à haut risque. Avant qu’un profil ne soit activé et qu’il crée des incidents de sécurité à partir d’événements notables ingérés, les valeurs de champ individuelles des événements notables sont mappées aux champs correspondants sur une mise en page de l’incident de sécurité pour un aperçu.
Procédure
Configurer un profil pour l’ingestion d’événements notables planifiés
Selon le profil défini, Splunk ES les événements notables sont automatiquement ingérés dans l’environnement Opérations de sécurité de votre Now Platform instance.
Le tableau suivant présente la liste des tâches que vous devez suivre pour configurer un profil pour l’ingestion planifiée d’événements notables :
Créer des profils pour l’ingestion d’événements notables planifiés
Vous pouvez configurer un profil afin que les événements notables soient automatiquement ingérés.
Avant de commencer
Rôle requis : sn_si.admin
Procédure
-
Renseignez les champs.
Le tableau ci-dessous un exemple de formulaire rempli.
Champ Description Nom Nom unique pour le profil. Si les noms ne sont pas uniques, une erreur s’affiche et les noms de profil en double ne sont pas enregistrés. Les noms de profil dans votre Now Platform instance doivent être uniques.
Actif La case à cocher est décochée et désactivée par défaut. Vous devez remplir toutes les sections du profil avant de l’activer. Type Sélectionnez le type de profil dans la liste de choix. - Ingestion d’événements planifiés : ce type de profil prend en charge les événements notables qui sont ingérés selon un calendrier configuré. Renseignez les champs.
- Transfert manuel d’événements : ce type de profil prend en charge les événements notables qui sont transférés manuellement à partir de votre Splunk Enterprise Security console d’examen d’incident sur demande. Reportez-vous aux étapes suivantes pour remplir le formulaire pour ces types de profils.
Source Splunk Fin de serveur ou de recherche que vous avez configurée pour ingérer des événements notables. Si vous avez configuré plusieurs Splunk serveurs, sélectionnez le serveur approprié pour les types d’événements notables qui seront ingérés pour le profil. Vous devez saisir une valeur. Ordre La valeur par défaut est 100. Si vous avez créé plusieurs profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent les mêmes conditions de déclenchement. Le workflow du profil dont le numéro est le plus bas a la priorité la plus élevée.
(Facultatif) Description Texte supplémentaire pour vous aider à distinguer ce profil des autres profils. La figure suivante est un exemple de formulaire rempli pour un type d’événement notable planifié.
Que faire ensuite
L’étape suivante consiste à sélectionner les événements notables pour une ingestion automatique.
Sélectionner les événements notables en fonction du nom de la règle de corrélation pour le profil pour Splunk ES l’intégration de l’ingestion d’événements
Une fois que vous avez créé un profil pour une ingestion planifiée de type événement notable, sélectionnez un nom de règle de Splunk Enterprise Security corrélation pour ce profil pour lequel vous souhaitez mapper les événements notables correspondants à un Now Platform Réponse aux incidents de sécurité incident de sécurité.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
Affichez les règles de corrélation disponibles dans votre Now Platform instance afin de connaître les types d’événements notables pour lesquels vous souhaitez ingérer et créer des incidents de sécurité. Sélectionnez une règle de corrélation. Vous pouvez sélectionner un ou plusieurs événements notables dans la liste de ce formulaire.
Procédure
-
Dans la liste Règle de corrélation, choisissez l’une des options suivantes pour sélectionner une ou plusieurs règles de corrélation, puis déplacez-les de la colonne Disponible vers la colonne Sélectionné.
La liste des règles de corrélation de ce formulaire correspond à la liste des règles de corrélation de votre Splunk ES console d’examen des incidents. Jusqu’à 500 règles de corrélation sont affichées sur ce formulaire. Si plus de 500 règles de corrélation sont répertoriées dans votre Splunk ES, seuls les 500 premiers événements notables sont affichés sur ce formulaire dans votre Now Platform instance.
Option Description Dans le champ de recherche Liste de règles de corrélation, saisissez du texte. La colonne sous le champ de recherche est filtrée avec les options disponibles en fonction du texte que vous saisissez. Sélectionnez une règle de corrélation et, à l’aide des touches fléchées, déplacez l’alarme sélectionnée de Disponible à Sélectionné. Dans la liste Règle de corrélation, double-cliquez sur une règle de corrélation. La colonne Sélectionné est renseignée avec votre sélection. Dans la liste Règle de corrélation, cliquez une fois sur une règle de corrélation. La règle de corrélation est sélectionnée. À l’aide des flèches, déplacez la règle de corrélation sélectionnée de Disponible à Sélectionné.
Que faire ensuite
Vous avez sélectionné avec succès une règle de corrélation pour un profil planifié Splunk Enterprise Security . L’étape suivante consiste à mapper les valeurs d’événements notables aux champs d’un incident de sécurité.
Mapper les champs d’événements notables pour l’intégration Splunk Enterprise Security
Une fois que vous avez identifié la règle de corrélation et le type d’événement notable spécifiques pour le profil, l’étape suivante consiste à mapper les champs d’événements notables individuels aux champs d’un Now Platform Réponse aux incidents de sécurité incident de sécurité (SIR).
Vue d'ensemble
Pour l’étape de mappage, vous pouvez ingérer un échantillon d’événements notables pour la règle de corrélation sélectionnée ou exporter des données d’événements notables pour les événements notables transférés manuellement. Le processus de mappage d’événements est identique quel que soit le type de profil que vous créez.
Les figures suivantes sont des exemples de configurations de mappage par défaut fournies pour chaque type de profil d’événement. Vous pouvez personnaliser les champs qui renseignent l’incident de sécurité. Au cours de cette phase de mappage, vous pouvez vous assurer que toutes les données pertinentes de champ d’événement notable sont mappées à l’emplacement approprié sur le formulaire d’incident SIR, puis visualiser l’incident SIR dans la section d’aperçu.
Si plusieurs corrélations sont utilisées, les événements notables peuvent être extraits en sélectionnant l’événement requis. Utilisez Nom d’alerte pour choisir votre alerte si vous avez configuré plusieurs alertes pour l’ingestion.
Une fois que vous avez cliqué pour extraire les données, les noms de champs d’événements Splunk notables et les valeurs correspondantes sont renseignés sur le côté gauche du formulaire. Il s’agit des champs d’événements Splunk notables qui peuvent être mappés aux champs d’incident SIR de sécurité. Certains champs peuvent être mappés plusieurs fois aux champs d’incident de sécurité SIR.
Vous préférez peut-être examiner quelques exemples d’événements notables sur votre Splunk console afin de les ingérer pour l’étape de configuration du mappage de champs. Cette étape s’intitule Mappage dans la barre de progression. Si cette page n’est pas affichée, cliquez sur Mappage dans la barre de progression. Vous pouvez ingérer jusqu’à cinq échantillons d’événements notables pour faciliter le processus de mappage des champs d’événements Splunk Enterprise Security notables. Il existe des options permettant soit d’ingérer les cinq événements notables les plus récents pour la règle de corrélation sélectionnée, soit d’ingérer jusqu’à cinq événements notables spécifiques en fonction des ID d’événements notables.
- Ingestion d’échantillons de données d’événements notables planifiés : pour les exemples de données utilisés pour ingérer automatiquement les profils d’événements notables, les champs d’événements notables disponibles et leurs valeurs correspondantes sont affichés dans une disposition de mappage par défaut sur le côté gauche du formulaire de mappage une fois les données d’échantillon récupérées. Des onglets s’affichent pour vous permettre d’afficher les valeurs d’un ID d’événement notable spécifique que vous avez extrait. Vérifiez que tous les champs critiques de la section d’ingestion d’échantillons d’événements notables à gauche du formulaire sont mappés aux champs d’incident ServiceNow de sécurité à droite du formulaire.
- Mappage de champs : modifiez la configuration du mappage en faisant glisser les champs d’événements notables depuis le côté gauche et en les déposant sur la section de mappage des ServiceNow incidents SIR à droite. Le mappage sur la droite associe le champ d’événement notable entrant à un champ d’incident de sécurité sortant.
- Expérience de mappage : personnalisez la grille de mappage en ajoutant ou en supprimant des champs à l’aide de l’icône + en bas de la section de mappage de champs d’incidents SIR. Suivez les champs négligés ou dupliqués avec le code couleur fourni (les champs mappés sont grisés, les champs bleus ne sont pas mappés).
- Conditions de génération d’incidents : une fois la section de mappage terminée, vous pouvez définir des conditions de filtre afin de pouvoir spécifier quels événements notables doivent créer des incidents de sécurité par rapport à quels événements notables doivent être filtrés (par exemple, les événements notables de faible priorité). Pour ce faire, consultez la section Conditions de génération d’incidents située sous la section Mappage des événements notables.
- Critères d’agrégation d’événements : définissez des critères d’agrégation d’événements supplémentaires qui regroupent un événement notable entrant en un incident de sécurité existant SIR au lieu de créer des incidents similaires et potentiellement dupliqués. En utilisant des critères de valeur de correspondance de champ pour chaque profil, cette option d’agrégation supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données relatives aux événements notables de sécurité connexes sur un seul incident de sécurité.
- Formater la traduction des champs : dans certains cas, les valeurs des champs d’événement dans les événements notables de l’entreprise Splunk peuvent ne pas se traduire directement dans les champs de l’incident SIR de sécurité. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez mettre en forme des valeurs similaires, mais pas identiques. Par exemple, avec l’éditeur de script, une valeur de catégorie Alerte de programme malveillant et Infection par un virus peut avoir des valeurs de champ différentes pour la catégorie source, mais les deux valeurs peuvent être traduites en une activité de code malveillant commune dans le champ Catégorie de l’incident SIR de sécurité à l’aide de la fonctionnalité Formater la traduction de champ.
L’étape suivante consiste à ingérer les événements notables et à mapper les valeurs aux champs d’incident SIR de sécurité.
Créer des mappages pour Splunk ES la revue des incidents d’événements notables et la contribution aux détails de l’événement (ingestion planifiée)
Au cours de l’étape de mappage des champs d’événements notables, vous mappez les champs d’événements individuels des événements notables aux champs d’un Now Platform Réponse aux incidents de sécurité incident de sécurité (SIR).
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
La grille de mappage peut être personnalisée en fonction du type d’événement notable sélectionné dans la sélection de la règle de corrélation. Le codage couleur des champs d’événement vous aide à suivre les valeurs d’événement que vous avez déjà mappées à mesure qu’elles sont grisées tandis que tous les champs non mappés restants apparaissent en bleu. Cela vous aide à mieux visualiser quelles valeurs de champ ont été ajoutées à l’incident de sécurité et si des informations d’événements importantes restantes restent non mappées.
Mappez jusqu’à cinq événements notables de la colonne Ingestion d’échantillons d’événements notables à gauche du formulaire aux champs d’incident de sécurité dans la colonne Mappage de champs d’incidents SIR à droite.
Créez des mappages personnalisés en ajoutant ou en supprimant les champs de la grille de mappage sur le côté droit du formulaire. Les champs par défaut qui sont généralement des champs importants à renseigner sur le formulaire de réponse aux incidents de sécurité s’affichent. Toutefois, ces champs peuvent être supprimés et tous les champs supplémentaires peuvent être affichés à l’aide des boutons + et -. Créez des cartes personnalisées en ajoutant ou en supprimant les champs de la grille de mappage sur le côté droit du formulaire. La personnalisation des champs vous permet de mapper Splunk des champs qui ne sont pas affichés sur la grille de mappage par défaut sur l’incident SIR de sécurité.
Procédure
-
Pour un profil avec une ingestion planifiée, cliquez sur Extraire les données d’échantillon pour extraire le dernier échantillon d’événements notables de la Splunk Enterprise console pour la règle de corrélation sélectionnée.
Remarque :Vous pouvez soit extraire l’échantillon d’événements notables le plus récent, soit fournir les ID d’événements notables uniques pour les événements notables spécifiques que vous souhaitez utiliser pour votre expérience de mappage d’événements notables.
Les champs et valeurs des événements notables sont affichés sous forme d’onglets individuels. Vous pouvez ingérer jusqu’à cinq événements notables.
L’extraction d’échantillons d’événements notables peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran.
Dans la figure suivante, les paires de valeurs de nom de champ pour l’événement notable ingéré, ou les échantillons d’événements importés, s’affichent sur le côté gauche de ce formulaire une fois l’extraction d’ingestion terminée. Ces valeurs sont les valeurs que vous mappez aux champs d’incident de sécurité du côté Mappage de champs d’incident SIR du formulaire.
-
Faites glisser le nom du champ, par exemple src_category, et déposez-le sur un champ de la colonne Expression d’entrée en regard d’un nom de champ dans la colonne Incident de sécurité.
La valeur du champ est affichée dans la colonne Expression d’entrée. Dans l’image suivante, src_category est mappé au champ de catégorie de l’incident de sécurité. Toutefois, vous pouvez faire correspondre n’importe quelle valeur du côté gauche à un champ de droite. Vérifiez que la valeur est correctement mappée sur l’incident de sécurité pendant l’étape de prévisualisation.
Pour vous assurer qu’aucun champ d’événement n’est négligé ou dupliqué dans le processus de mappage, les champs sont codés par couleur. Les champs bleu clair sur la gauche indiquent qu’un champ d’événement notable n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférez peut-être associer un champ notable entrant à plusieurs champs sur un incident de sécurité.
Un champ gris indique qu’un champ a été sélectionné et mappé à un champ sur l’incident de sécurité. Ce code couleur vous aide à suivre le mappage.
-
Pour ajouter des champs aux champs par défaut affichés sur l’incident de sécurité sur le côté droit du formulaire, procédez comme suit.
-
Dans la colonne Incident de sécurité, développez la liste qui s’affiche, puis sélectionnez un champ.
Dans la liste développée pour le nouveau champ, certains champs sont ombrés. Dans la figure suivante, la catégorie a un arrière-plan gris, car elle a été mappée dans l’incident de sécurité. À l’instar du code couleur pour les champs d’événements notables sur le côté gauche du formulaire, ce code couleur pour les champs d’incident de sécurité sur la droite vous aide à suivre les champs d’incident SIR déjà mappés.
Remarque :Afin que plusieurs observables puissent être affichés sur le même incident de sécurité, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Élément de configuration et Notes de travail prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, lorsque vous prévisualisez l’incident, un message d’erreur s’affiche indiquant qu’il n’y a aucune valeur pour le champ. De même, si un champ d’un incident de sécurité dispose d’une liste dans laquelle vous pouvez choisir plusieurs options, et que vous essayez de mapper une option à ce champ qui n’est pas affiché dans la liste, le champ n’est pas renseigné sur l’incident de sécurité.
-
Dans la colonne Incident de sécurité, développez la liste qui s’affiche, puis sélectionnez un champ.
-
Poursuivez le mappage en ajoutant ou en supprimant des valeurs de champ au mappage.
La figure suivante est un exemple de mappage modifié. Dans le champ inférieur à droite, le champ Notes de travail est ajouté et il a plusieurs valeurs. Notez que pour un champ de chaîne de texte long, vous pouvez développer le champ de mappage pour voir la chaîne complète et le redimensionner selon vos besoins en tirant le coin inférieur droit du champ, comme indiqué dans la capture d’écran ci-dessous avec le champ Notes de travail ajouté :Avertissement :Veuillez noter que dans la section Mappage de champ d’incident SIR , l’URL et le numéro de port mentionnés dans le champ expression d’entrée ne sont qu’un exemple et non l’URL ou le numéro de port fournis prêts à l’emploi.
Dans l’aperçu, ces valeurs sont affichées dans les notes de travail sur l’incident de sécurité. Étant donné que la valeur correspond à un champ que vous avez ajouté à la section de mappage et que plusieurs valeurs sont mappées au champ Notes de travail, les valeurs s’affichent telles qu’elles sont saisies. Dans cet exemple, les espaces et les signes de ponctuation que vous avez saisis dans le champ sont affichés dans la section Éléments connexes sous forme de note de travail dans l’aperçu de l’incident de sécurité.
L’image suivante est un exemple de la façon dont les valeurs de l’image précédente sont affichées sur l’incident de sécurité.
- Facultatif :
Ouvrez l’éditeur de script et poursuivez la modification.
Pour plus d’informations sur l’éditeur de script, reportez-vous à la section Utiliser l’éditeur de script pour formater les valeurs d’alerte pour l’intégration Splunk Enterprise Event Ingestion.
Inclure des liens hypertexte pour l’événement notable, l’examen des incidents et les événements contribuant
En plus de mapper les champs, le sn_si.admin peut mapper une valeur de chaîne qui permet à l’analyste de sécurité travaillant sur un incident d’établir un lien hypertexte vers l’examen de l’incident d’événement notable dans la Splunk Enterprise Security console, ainsi que vers les événements contributeurs sous-jacents qui font partie de la recherche approfondie.
Les valeurs de chaîne suivantes contiennent le nom du serveur et les Splunk Enterprise Security variables appropriées qui peuvent être utilisées pour créer des liens hypertexte entre ces détails :
- Lien hypertexte de l’examen des incidents d’événements notables : https://splunkes2.secops-eng.com:8000/en-US/app/SplunkEnterpriseSecuritySuite/incident_review?earliest=${info_min_time}$&latest=now&form.srch=event_id%3D${event_id}$
où splunkes2.secops-eng.com:8000 est la source du serveur Splunk et info_min_time et event_id sont des valeurs de champ d’événement extraites des événements notables.
- Événements de contribution à un événement notable (recherche détaillée) Lien hypertexte : https://splunkes2.secops-eng.com:8000/en-GB/app/SplunkEnterpriseSecuritySuite/search?q=${drilldown_search}$
où splunkes2.secops-eng.com:8000 est la source du serveur Splunk et drilldown_search est une valeur de champ d’événement extraite des événements notables.
L’image suivante montre l’URL d’examen des incidents d’événements notables mappée au champ Note de travail et l’hyperlien Événements contribuant à l’événement notable (recherche approfondie) mappé vers un champ personnalisé appelé URL d’incident d’événement notable :
L’image suivante est l’aperçu de l’incident SIR avec l’hyperlien Revue des incidents d’événements notables et l’URL des événements contribuant :Conditions de filtrage de génération d’incidents
- Lien hypertexte de l’examen des incidents d’événements notables : https://splunkes2.secops-eng.com:8000/en-US/app/SplunkEnterpriseSecuritySuite/incident_review?earliest=${info_min_time}$&latest=now&form.srch=event_id%3D${event_id}$
- Facultatif :
Une fois que vous avez terminé les étapes de mappage de champs précédentes, vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération d’incident pour définir les critères supplémentaires qu’un événement notable entrant doit satisfaire pour créer un SIR incident de sécurité.
Pour définir les conditions de génération d’incidents, procédez comme suit.
-
Faites défiler l’écran jusqu’à la section Conditions de génération d’incidents du formulaire et cochez la case Filtre basé sur les conditions pour activer l’option.
Le Créateur de conditions de filtre s’affiche. Utilisez ces filtres pour créer des incidents de sécurité qui correspondent aux conditions spécifiques décrites dans les champs.
Les options des listes pour le premier champ du générateur de conditions de filtre correspondent aux champs affichés dans la section Ingestion d’échantillons d’événements notables pour les événements que vous avez ingérés. Ces champs sont dynamiques et changent en fonction des Splunk événements notables que vous ingérez ou de l’événement que vous sélectionnez pour les échantillons d’événements notables transférés manuellement. Les critères que vous saisissez sont sensibles à la casse et doivent correspondre exactement aux valeurs de l’événement Splunk Enterprise Security notable. Si vous n’êtes pas sûr des valeurs à saisir dans les champs de filtre, vous préférez peut-être revenir à votre Splunk Enterprise Security console et passer en revue vos événements notables pour les mots-clés.
- Facultatif :
Dans la deuxième ligne, définissez une deuxième condition de filtre.
L’image suivante est un exemple avec deux conditions qui doivent être mises en correspondance avant la création des incidents de sécurité.
Vous avez défini les conditions de génération d’incident de sorte que les incidents de sécurité ne soient créés que lorsque les deux conditions de filtrage que vous avez saisies correspondent.
Ce type de filtrage des conditions de génération d’incident vous permet d’affiner les événements de sécurité et de limiter le nombre d’incidents de sécurité inutiles que vous créez sans modifier la recherche de corrélation sous-jacente ou les filtres dans Splunk. Si des critères de filtrage supplémentaires sont définis, seuls les événements notables qui correspondent à tous les critères sont mappés aux incidents.
Remarque :Si l’un des noms de champs d’événements contient des caractères spéciaux tels que des guillemets ("), des traits d’union ('), des traits de soulignement (-), at (@) ou des esperluettes (&), ces caractères peuvent devoir être remplacés à des fins de traduction de mappage et éventuellement créer un nom d’événement en double. Le mappage peut être effectué correctement, mais un suffixe numérique est ajouté pour différencier les champs avec des noms d’événements en double. Par exemple, si le premier champ d’événement estalerts.alertet que le deuxième champ d’événement estalerts@alerts, ces champs ne peuvent pas être identifiés de manière unique car les caractères de texte standard restants sont les mêmes. Dans ce cas, un suffixe est ajouté au deuxième champ d’événement et le champ est renomméen alerts@alert(1).
Critères d’agrégation d’événements pour gérer des notables similaires et éviter les incidents en double
-
Faites défiler l’écran jusqu’à la section Conditions de génération d’incidents du formulaire et cochez la case Filtre basé sur les conditions pour activer l’option.
- Facultatif :
Pour éviter de créer des incidents de sécurité en double, définissez des critères d’agrégation d’événements supplémentaires afin que les événements notables entrants soient agrégés en un incident de sécurité ouvert.
Pour définir les critères, procédez comme suit ci-dessous.
-
Utilisez l’option Ajouter de nouveaux critères pour sélectionner plusieurs conditions de correspondance de champ.
Toutes les valeurs de champ que vous sélectionnez dans le champ d’entrée de sélection multiple sont mises en correspondance pour les critères d’agrégation à l’aide de la condition ET. Cliquez sur Ajouter de nouveaux critères pour sélectionner plusieurs conditions de correspondance de champ où l’agrégation se produit si l’une des conditions de champ multi-sélectionnées qui sont définies est remplie à l’aide de la condition OU.
Si un nouvel événement notable correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation de l’étape de mappage, le nouvel événement notable est automatiquement ajouté à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’utilisateur disposant du rôle sn_si.analyst travaillant sur des incidents de sécurité, vous pouvez afficher tous les événements notables d’agrégat ajoutés dans une liste connexe sur un incident de sécurité. Tous les événements notables regroupés sur un incident de sécurité sont affichés dans la Splunk liste connexe Événements à tâches. Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi ces événements notables sont regroupés aux incidents de sécurité existants. Si cet onglet n’est pas affiché, faites défiler vers la gauche de l’enregistrement sous Liens connexes et cliquez sur le lien Afficher toutes les listes connexes .
Vous avez mappé avec succès les valeurs d’un Splunk événement notable aux champs d’un SIR incident de sécurité. En outre, vous avez configuré des conditions supplémentaires pour limiter la création d’incidents de sécurité avec des critères de filtrage de génération d’incidents. Vous avez également ajouté des événements notables à des incidents de sécurité existants SIR lorsque les valeurs de champ d’événement correspondent aux critères d’agrégation configurés. -
Utilisez l’option Ajouter de nouveaux critères pour sélectionner plusieurs conditions de correspondance de champ.
Que faire ensuite
L’étape suivante consiste à prévisualiser les valeurs que vous avez mappées sur l’incident de sécurité.
Prévisualiser l’incident de sécurité pour l’intégration de l’ingestion d’événements Splunk Enterprise Security
Une fois que vous avez terminé l’étape de mappage, prévisualisez les valeurs que vous avez mappées dans un Now Platform® Réponse aux incidents de sécurité incident de sécurité (SIR). Cette étape d’aperçu vous permet de vérifier que vous avez mappé tous les champs notables que vous souhaitez afficher sur l’incident de sécurité.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
Prévisualisez un incident de sécurité et modifiez à nouveau le mappage si nécessaire pour corriger les champs contenant des erreurs ou pour renseigner les données manquantes. Si l’aperçu n’est pas terminé, vous ne pouvez pas passer à l’étape de planification. Les aperçus des incidents de SIR sécurité ne sont pas enregistrés en tant qu’incidents réels dans le SIR produit.
Procédure
-
Dans la liste de choix Exemple d’ID d’événements notables, sélectionnez un élément.
L’incident de sécurité s’affiche. Ne modifiez aucune information dans les champs. Il s’agit d’une vue en lecture seule et un enregistrement de cet incident de sécurité n’est pas enregistré.
-
Examinez le mappage de champs des valeurs d’événements notables sur l’incident de sécurité.
L’image précédente est un exemple d’aperçu avec une erreur de mappage. Dans cet exemple, une valeur de champ de l’événement notable n’a pas de valeur acceptable pour le champ de référence sur le formulaire d’incident SIR. Un message d’erreur s’affiche pour indiquer qu’une valeur d’entrée est introuvable pour le champ Élément de configuration dans la ServiceNow® base de données de gestion des clients (CMDB). Par conséquent, cette valeur de champ mappée n’apparaît pas sur le formulaire d’incident de sécurité SIR sans autre modification.
-
Prévisualisez à nouveau le mappage et continuez à corriger les erreurs décrites dans les messages d’erreur.
La figure suivante est un exemple de l’onglet Détails de l’incident dans la moitié inférieure d’un SIR incident de sécurité, une fois que tous les messages d’erreur ont été résolus. Pour cet exemple, les champs Description et Notes de travail ont été mappés, et ces champs sont renseignés avec les valeurs des paires de valeurs extraites des échantillons d’événements Splunk Enterprise Security notables. Le premier champ Notes de travail n’a aucune valeur. Ce champ a été laissé vide sur la grille de mappage lors de l’étape de mappage. Les champs Note de travail supplémentaires qui ont des valeurs ont été ajoutés à la section de mappage.
Que faire ensuite
Si aucun message d’erreur ne s’affiche et que vous êtes satisfait du mappage de champs sur l’incident de sécurité, l’étape suivante consiste à Planifier et récupérer les alertes pour l’intégration Splunk Enterprise Event Ingestion.
Planifiez et récupérez les événements notables nouveaux ou mis à jour pour l’intégration de l’ingestion d’événements Splunk Enterprise Security
Pour les profils automatisés d’ingestion d’événements notables, cette étape est requise dans la configuration du profil d’événement. Au cours de cette étape, vous pouvez vérifier les paramètres par défaut pour la récupération des événements notables ou modifier la planification selon vos besoins. Cette étape vous permet également de récupérer des événements notables historiques à l’aide d’une plage de dates.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
Pour les profils pour l’ingestion automatisée d’événements notables, vous choisissez si vous souhaitez ingérer des événements notables historiques au cours de l’étape de planification. Vous choisissez également la fréquence à laquelle vous procéderez à une interrogation pour les futurs nouveaux événements notables et les événements notables mis à jour qui correspondent à la configuration du profil d’alerte.
Pour les profils d’ingestion d’événements notables automatisés, avant que le profil ne soit activé, vous vérifiez et modifiez la planification et la récupération des alertes. Il s’agit d’une étape requise pour tout le processus de configuration de profil d’événement pour les profils d’alerte planifiée.
Vous configurez ces intervalles d’interrogation pour chaque profil. Les performances de l’intégration d’ingestion Splunk d’événements peuvent être impactées par les différents intervalles d’interrogation. Lors de la planification, vous préférerez peut-être trouver un équilibre entre la réduction de la surcharge d’interrogation sur le serveur et le Splunk Enterprise Security désir d’être averti dès que possible lorsqu’un événement notable est créé ou mis à jour. Une valeur par défaut de cinq minutes est définie pour n’importe quel profil, mais vous préférerez peut-être modifier ce paramètre à une minute si nécessaire.
Extraction d’événements notables nouveaux ou mis à jour
Lorsque le calendrier d’interrogation est défini, la tâche planifiée extrait les événements notables nouveaux et mis à jour qui ont été extraits précédemment mais ne répondaient pas aux critères de filtrage des incidents. Vous pouvez ainsi créer des incidents en fonction de critères qui peuvent ne pas être présents lors de la création d’un événement notable, mais qui deviennent disponibles après une mise à jour, par exemple pendant la phase d’enquête. Une fois qu’un incident est créé pour un événement notable spécifique, ses mises à jour ultérieures sont ignorées, car il est prévu que le notable soit maintenant traité comme un incident de sécurité actif ServiceNow® . Toutefois, tous les autres notables qui ont déjà été ingérés, mais qui ne répondent pas aux critères de génération d’incidents, continueront d’être extraits et vérifiés par rapport aux critères de génération d’incidents jusqu’à ce qu’ils fassent partie d’un incident actif.
Procédure
-
Choisissez-en un pour planifier comment et quand les événements notables sont extraits de la Splunk Enterprise Security console.
Option Description - Champ d’ingestion d’événement en cours sélectionné
- Champ de récupération ponctuelle effacé
Événement en cours En fonction du paramètre par défaut, l’instance Now Platform effectue une extraction du serveur pour les Splunk Enterprise Security événements notables nouveaux ou mis à jour toutes les cinq minutes. Les incidents de sécurité sont créés si des événements notables sont détectés et si les critères de filtrage de génération d’incident sont respectés. Pour équilibrer les frais généraux d’interrogation d’ingestion afin d’obtenir les données les plus récentes, le paramètre par défaut est de cinq minutes. Toutefois, cette valeur peut être modifiée jusqu’à une minute si nécessaire.
- Événement notable en cours effacé
- Champ de récupération ponctuelle sélectionné
Récupération ponctuelle Utilisez cette configuration si vous souhaitez une transmission par pull unique pour ingérer des événements notables historiques.
Lorsque ce paramètre est configuré, un profil est utilisé une fois pour récupérer les événements notables à partir des événements historiques basés sur une plage de dates. À droite du champ Depuis date, cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire les alertes. À partir de la valeur Date de début, les événements notables sont récupérés jusqu’à la date actuelle. Notez que vous pouvez remonter jusqu’à sept jours en arrière à partir de la date actuelle. Cette fonctionnalité n’est pas destinée à récupérer des quantités importantes d’événements historiques à des Splunk Enterprise Security fins d’archivage, mais plutôt une quantité minimale d’événements en cours qui sont activement traités au moment de l’activation du profil.
Une fois les événements notables extraits, ce paramètre ne récupérera pas les événements notables de ce profil à partir de la date actuelle. Ce paramètre remplit l’incident de sécurité avec tous les événements notables qui sont trouvés pour la plage que vous entrez.Par exemple, pour planifier un délai d’intégration d’un événement notable initial, si vous avez un contrôle de sécurité quotidien Splunk qui s’exécute une fois par jour à 4 h (heure locale), vous pouvez configurer le profil d’événement notable correspondant dans votre Now Platform instance pour qu’il s’exécute à 4 h 05 (heure locale) afin de capturer immédiatement l’événement de défaillance de sécurité et créer un incident de sécurité. Entrez 04 05 00 dans le champ Ingestion de l’événement initial. Dans le champ Incrémentation (minutes), saisissez 1 440 (24 heures) pour planifier la prochaine ingestion d’événement pendant 24 heures à compter de l’ingestion d’événement initiale. L’heure d’ingestion de l’événement initial et l’heure d’ingestion de l’événement suivant sont affichées dans les champs.
Automatisez les mises à jour et la fermeture des événements notables en fonction de l’état de l’incident SIR
Les incidents de sécurité peuvent être créés et mis à jour une fois qu’ils ont été créés avec une interface bidirectionnelle avec l’intégration Splunk Enterprise Security .
Avant de commencer
L’intégration Splunk Enterprise Security dispose d’une interface bidirectionnelle qui permet aux événements notables de créer des incidents de sécurité et de mettre à jour les événements notables après la création et/ou la fermeture de l’incident de sécurité.
Les détails pertinents de l’incident comprennent le numéro d’incident, le groupe d’affectation et SIRSIR l’URL de l’incident. Cette section est la dernière partie de la configuration du profil qui fournit des options facultatives pour mettre à jour les Splunk Enterprise Security événements notables.
Rôle requis : sn_si.admin
Procédure
-
Cliquez sur Terminer pour terminer la configuration.
Une boîte de dialogue de confirmation s’affiche. Vous avez terminé avec succès l’installation et la configuration de l’intégration. Activez ce profil pour extraire les événements notables de la Splunk Enterprise Security console en fonction de votre planification. Il existe une limite de 1 000 incidents de sécurité qui peuvent être créés dans un délai de 24 heures. Jusqu’à 100 événements notables sont par alerte déclenchée. Les événements notables suivants seront ignorés une fois les limites atteintes.L’image suivante montre l’onglet Options supplémentaires avec les valeurs par défaut renseignées :Lorsque la configuration des options supplémentaires est activée, l’examen de l’incident d’événement notable affiche le changement de statut et une mise à jour des commentaires de l’historique :
Configurer un profil pour le transfert manuel d’événements
Selon le profil défini, Splunk ES les événements notables sont transférés manuellement en tant qu’événements notables discrets dans l’environnement Opérations de sécurité de votre Now Platform instance.
Pour configurer un profil pour le transfert manuel d’événements notables :
Créer des profils pour les événements transférés manuellement
Vous pouvez configurer un profil pour les événements transférés manuellement.
Avant de commencer
Rôle requis : sn_si.admin
Procédure
Pour les événements que vous transférez à la demande à partir de votre Splunk Enterprise Security console, vous pouvez baser le mappage de champs individuel sur n’importe quel profil existant. Vous pouvez également créer une nouvelle grille de mappage pour les données de pièce jointe exportées. Les événements que vous transférez manuellement ne sont pas planifiés dans le profil d’événement.
-
Dans le champ Option de mappage qui s’affiche, dans la liste de choix, choisissez une option de mappage pour continuer.
Reportez-vous aux figures et tableaux suivants pour plus d’informations sur les options de mappage disponibles dans la liste de choix Options de mappage.
Tableau 2. Créer une nouvelle option de mappage de champs Option ou champ Description Créer une nouvelle option de mappage de champs Nouveau mappage de champs pour votre événement. Si vous n’avez pas de mappage de champs existant similaire au profil que vous créez, sélectionnez cette option pour créer une nouvelle carte.
Profil par défaut Profil de transfert d’événement par défaut pour tous les Splunk événements. La valeur par défaut est effacée (désactivée).
Lorsque cette option est activée, ce profil devient le profil par défaut pour le transfert manuel d’événements. Ce profil est utilisé lorsqu’il n’y a aucune correspondance sur la source de l’événement transféré manuellement. Il devient le profil par défaut pour tous les événements dont les sources sont inconnues.
Le champ Source n’est pas disponible si l’option de profil par défaut est activée.
Source (champ d’événement notable) Il s’agit d’un champ qui définit généralement la règle de corrélation qui a déclenché les attaques notables, par exemple, les attaques par force brute. Ce champ n’est pas disponible si l’option de profil par défaut est activée.
S’il est disponible, ce champ autorise le mappage de champs d’événements uniques avec les champs d’incidents de sécurité en fonction de la règle de corrélation Splunk qui est généralement différente pour différents types d’événements.
Si vous souhaitez gérer différentes règles de corrélation séparément, vous pouvez créer différents profils d’événements de profil basés sur la règle de corrélation pour satisfaire à cette condition.
Automatiser les mises à jour des événements notables Cochez cette case si vous souhaitez mettre à jour le statut de l’événement notable et ajouter des commentaires supplémentaires lorsqu’un incident SIR est créé à partir de l’événement notable et/ou lorsque l’incident SIR est fermé. Cela se produit à la fois pour les événements notables déclencheurs initiaux qui créent l’incident SIR et pour les événements agrégés. Source (Splunk serveur)
Serveur Splunk que vous avez configuré comme source pour les événements notables. Si vous avez configuré plusieurs Splunk serveurs, sélectionnez le serveur approprié pour les types d’événements notables qui seront mis à jour pour le profil. Vous devez saisir une valeur.
Ordre La valeur par défaut est 100. Laissez ce paramètre sur la valeur par défaut. Si vous avez créé un grand nombre de profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent des conditions de déclenchement. Le workflow du profil dont le numéro est le plus bas a la priorité la plus élevée.
(Facultatif) Description Texte pour vous aider à distinguer ce profil des autres profils. Pour un profil avec un nouveau mappage de champ, vérifiez que vous avez saisi une valeur dans le champ Type de source et cliquez sur Continuer pour passer à l’étape de mappage de la configuration.
Pour un profil avec un mappage de champ existant, reportez-vous à la figure et au tableau suivants pour plus d’informations.Tableau 3. Sélectionner un profil existant pour l’option de mappage de champ Option ou champ Description Sélectionner un profil existant pour le mappage de champs Réutilisez un mappage de champs existant pour votre nouveau profil d’événement notable. Le champ Copier à partir du profil s’affiche. Procédez comme suit pour copier un mappage de champ existant pour ce profil.
- À gauche du champ Copier à partir du profil qui s’affiche, cliquez sur l’icône de recherche.
- Dans la liste des profils d’événements Splunk ES qui s’affiche, cliquez sur le nom du profil qui contient la carte que vous souhaitez copier.
Le nom du profil s’affiche dans le champ Copier à partir du profil.
Profil par défaut Profil de transfert d’événement par défaut pour tous les événements notables dont la Splunk source n’a pas de correspondance. Désactivé par défaut.
Lorsque cette option est activée, ce profil devient le profil par défaut pour le transfert manuel d’événements.
Le champ Source n’est pas disponible si l’option de profil par défaut est activée.
Source (champ d’événement notable) Il s’agit d’un champ qui définit généralement la règle de corrélation qui a déclenché les attaques notables, par exemple, les attaques par force brute. Ce champ n’est pas disponible si l’option de profil par défaut est activée.
S’il est disponible, ce champ autorise le mappage de champs d’événements uniques avec les champs d’incidents de sécurité en fonction de la règle de corrélation Splunk qui est généralement différente pour différents types d’événements.
Si vous souhaitez gérer différentes règles de corrélation séparément, vous pouvez créer différents profils d’événements de profil basés sur la règle de corrélation pour satisfaire à cette condition.
Automatiser les événements notables Cochez cette case si vous souhaitez mettre à jour le statut de l’événement notable et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’événement notable ou lorsque l’incident de sécurité est fermé. Cela se produit à la fois pour les événements notables déclencheurs initiaux qui créent l’incident de sécurité et pour les événements agrégés. Source (Splunk serveur)
Splunk Fin de serveur ou de recherche que vous avez configurée comme source pour les événements notables. Si vous avez configuré plusieurs Splunk serveurs, sélectionnez le serveur approprié pour les types d’événements notables qui seront mis à jour pour le profil. Vous devez saisir une valeur.
Ordre La valeur par défaut est 100. Laissez ce paramètre sur la valeur par défaut. Si vous avez créé plusieurs profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent des conditions de déclenchement. Le workflow du profil dont le numéro est le plus bas a la priorité la plus élevée.
(Facultatif) Description Texte pour vous aider à distinguer ce profil des autres profils. Au bas du formulaire de sélection d’un mappage existant pour votre profil, cliquez sur Terminer pour finaliser la configuration du profil.
Créer des mappages pour Splunk ES l’événement notable, l’examen des incidents et la contribution aux détails de l’événement (transfert manuel)
Au cours de l’étape de mappage des champs d’événements notables, vous mappez les champs d’événements individuels des événements notables aux champs d’un Now Platform Réponse aux incidents de sécurité incident de sécurité (SIR).
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
Mappez jusqu’à cinq événements notables de la colonne Ingestion d’échantillons d’événements notables à gauche du formulaire aux champs d’incident de sécurité dans la colonne Mappage de champs d’incidents SIR à droite.
Créez des mappages personnalisés en ajoutant ou en supprimant les champs de la grille de mappage sur le côté droit du formulaire. Les champs par défaut qui sont généralement des champs importants à renseigner sur le formulaire d’incident SIR s’affichent. Toutefois, ces champs peuvent être supprimés et tous les champs supplémentaires peuvent être affichés à l’aide des boutons + et -. Créez des cartes personnalisées en ajoutant ou en supprimant les champs de la grille de mappage sur le côté droit du formulaire. La personnalisation des champs vous permet de mapper Splunk des champs qui ne sont pas affichés sur la grille de mappage par défaut sur l’incident SIR de sécurité.
Procédure
- Si le formulaire de mappage n’est pas affiché, cliquez sur Mappage dans la barre de progression.
-
Suivez ces étapes pour charger les données de pièce jointe dans votre Now Platform® instance.
-
Développez l’événement notable et, dans la colonne Champ, sélectionnez les champs que vous souhaitez importer.
Ces champs correspondent aux paires champ-valeur qui sont exportées et affichées sur la page de mappage de votre Now Platform® instance.
-
Cliquez sur Exporter.
Le fichier XML de l’événement notable exporté Splunk doit maintenant être téléchargé sur votre Now Platform® instance. -
Dans la colonne Ingestion d’échantillons d’événements notables, cliquez sur Charger les données de la pièce jointe.
-
Développez l’événement notable et, dans la colonne Champ, sélectionnez les champs que vous souhaitez importer.
- Suivez les étapes 5 à 10 de la Créer des mappages pour Splunk ES la revue des incidents d’événements notables et la contribution aux détails de l’événement (ingestion planifiée) section.
Configurez votre Splunk environnement pour l’ingestion manuelle d’événements pour l’intégration de l’ingestion d’événements Splunk Enterprise Security notables
Installez et configurez le ServiceNow module complémentaire Security Operations Event Ingestion pour l’application dans Splunk Enterprise Security votre Splunk console d’entreprise ou votre instance Splunk Cloud si vous souhaitez exporter des événements manuellement et à la demande à partir de votre Splunk Enterprise Security console pour cette intégration.
Avant de commencer
L’installation et la configuration du ServiceNow module complémentaire Security Operations Event Ingestion pour l’application dans Splunk Enterprise Security votre console d’entreprise ou dans votre Splunk instance Splunk Cloud sont facultatives.
Vérifiez que vous avez installé l’application pour cette intégration ServiceNow Store avant d’installer le module d’extension Splunkbase requis pour l’ingestion manuelle d’événements. Si vous n’avez pas installé l’application pour l’intégration à partir de , consultez ServiceNow StoreInstallez et configurez l’application ServiceNow pour l’intégration d’ingestion d’événements Splunk Enterprise Security notables et suivez les instructions pour l’installer.
Rôle requis : Splunk Enterprise Security administrateur
Pourquoi et quand exécuter cette tâche
Si vous souhaitez exporter des événements manuellement et à la demande à partir de votre Splunk Enterprise console pour l’intégration, téléchargez, installez et configurez le ServiceNow module complémentaire Security Operations Event Ingestion pour Splunkbase dans Splunk Enterprise Security votre Splunk Enterprise Security console. Ce ServiceNow module complémentaire d’extension est requis pour que les incidents de sécurité puissent être créés à partir d’événements exportés manuellement dans votre Now Platform instance. Ce ServiceNow module complémentaire d’ingestion d’événements de Security Operations pour Splunk Enterprise Security l’application est disponible sur splunkbase.
Pour le transfert manuel d’événements, vous pouvez identifier jusqu’à deux points de terminaison (instances) différents Now Platform dans votre Splunk Enterprise Security console. Vous transférez manuellement les événements au ou aux points de terminaison pour créer des incidents de sécurité. Par exemple, vous pouvez spécifier à la fois une instance de stockage intermédiaire (développement) et une instance de production. En spécifiant des instances distinctes et en nommant des workflows primaires et secondaires pour chaque instance, vous pouvez choisir où vous souhaitez transférer les différents événements.
Procédure
-
Pour configurer le complément, procédez comme suit.
-
Remplissez le formulaire.
La figure suivante est un exemple de formulaire rempli dans votre Splunk Enterprise Security console.
Champ dans la section Spécifier l’instance primaire ServiceNow Description Étiquette de l’action de workflow Nom du workflow pour votre Now Platform instance de production (principale). Ce nom est le nom d’une Now Platform instance que les utilisateurs qui surveillent les Splunk événements identifient comme instance principale, par exemple, Servicenow Event Ingestion (Production). La valeur par défaut pour ce champ est Ingestion d’événements ServiceNow (production).
Dans votre Splunk Enterprise Security console, ce nom de workflow s’affiche pour l’instance de production (principale) dans la liste déroulante Actions d’événement développée d’une recherche. Ce nom est le nom de votre instance de production. Vous pouvez modifier le nom.
URL URL de l’instance Now Platform que vous avez saisie dans le champ Étiquette de l’action de workflow précédent. Copiez l’URL dans votre navigateur et collez-la dans ce champ du formulaire.
Point de terminaison Chemin de l’API de base. Pour plus d’informations, reportez-vous à la figure qui suit le tableau. Si vous n’avez pas de valeur pour le point de terminaison de votre Now Platform instance de production, procédez comme suit.
- Connectez-vous à votre Now Platform instance de production en tant qu’utilisateur disposant du rôle d’administrateur système (admin).
- Entrez les API REST basées sur un script dans le panneau de navigation.
- Une fois le panneau de navigation actualisé, sélectionnez le module API REST scripté qui s’affiche.
- Si l’ingestion d’événement n’est pas répertoriée dans la colonne Nom de la liste API REST scriptées qui s’affiche, dans le champ de recherche en haut, saisissez l’ingestion d’événement.
- Dans la colonne Chemin d’accès de l’API de base sur la page actualisée, copiez cette valeur et collez-la dans le champ Point de terminaison du formulaire. Un exemple de chemin d’accès de l’API de base est /api/sn_sec_splunk_v2/event_ingestion.
Nom d'utilisateur Nom d’utilisateur de votre Now Platform instance. Ce nom est le nom d’utilisateur de l’instance Now Platform dans laquelle vous avez affecté un utilisateur avec le rôle (sn_sec_splunk_v2.api_account_access) pour le transfert manuel d’événements. Pour en savoir plus sur l’affectation de ce rôle, reportez-vous à Configurer votre Now Platform instance pour l’intégration Splunk Enterprise Event Ingestion.
Mot de passe Mot de passe de votre Now Platform instance. Ce mot de passe est le mot de passe de l’instance Now Platform dans laquelle vous avez affecté un utilisateur avec le rôle (sn_sec_splunk_v2.api_account_access) pour le transfert manuel d’événements.
(Facultatif) Champs dans la section Spécifier l’instance secondaire ServiceNow Description Ces champs sont facultatifs. Vous n’êtes pas obligé de spécifier une instance secondaire.
Étiquette de l’action de workflow Nom du workflow pour votre Now Platform instance secondaire (intermédiaire). Ce nom correspond au nom d’une Now Platform instance que les utilisateurs qui surveillent les Splunk événements identifient comme instance secondaire, par exemple, ServiceNow Ingestion d’événements (intermédiaire). Dans votre Splunk Enterprise Security console, ce nom de workflow s’affiche pour l’instance intermédiaire (secondaire) dans la liste déroulante Actions d’événement développée d’une recherche. Cette Now Platform instance est votre instance intermédiaire. Vous pouvez modifier le nom.
URL URL de l’instance Now Platform que vous avez saisie dans le champ Étiquette de l’action de workflow précédent pour l’instance secondaire Now Platform . Copiez l’URL dans votre navigateur et collez-la dans ce champ du formulaire.
Point de terminaison Chemin de l’API de base. Cette valeur du chemin d’accès de l’API de base pour votre instance secondaire est la même que celle du chemin de l’API de base pour votre instance primaire. Consultez la figure précédente du formulaire pour plus d’informations. Nom d'utilisateur Nom d’utilisateur de votre Now Platform instance de stockage intermédiaire. L’utilisateur doit disposer du rôle (sn_sec_splunk_v2.api_account_access). Mot de passe Mot de passe de votre Now Platform instance de stockage intermédiaire. L’utilisateur doit disposer du rôle (sn_sec_splunkes.api_account_access). La figure suivante est un exemple de la liste des API REST scriptées dans votre Now Platform. La liste affiche l’emplacement de la valeur de point de terminaison d’une Now Platform instance que vous entrez dans le formulaire dans le cadre de la configuration ServiceNow du module complémentaire Security Operations Event Ingestion pour extension dans Splunk Enterprise Security votre Splunk Enterprise Security console. -
Remplissez le formulaire.
Que faire ensuite
Si vous n’avez pas encore enregistré les recherches dans votre Splunk Enterprise Security console, l’étape suivante consiste à enregistrer les recherches en tant qu’alertes dans votre Splunk Enterprise Security console.