Configurer et activer l’intégration Splunk

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • L’intégration d’enrichissement Splunk recherche vos journaux et ajoute des informations d’observation pertinentes.

    Avant de commencer

    Avant de pouvoir utiliser la recherche Splunk, vous devez la télécharger à partir du ServiceNow Store.

    Rôle requis : sn_sec_tisc.admin

    • Le module d’extension Threat Intelligence Security Center doit être installé et activé avant de pouvoir utiliser l’intégration de la recherche Splunk.
    • Procurez-vous Splunk et obtenez la recherche Splunk et obtenez l’URL de base de l’API, l’URL du lien, le nom d’utilisateur et le mot de passe de votre instance Splunk.

    Procédure

    1. À l’aide de votre instance, accédez au Centre de sécurité des renseignements sur les menaces.
    2. Téléchargez l’intégration à partir de ServiceNow Store.
    3. Une fois l’installation terminée, accédez à Espaces de travail > Threat Intelligence Security Center.
    4. Sélectionner Intégrations > Intégrations de l'enrichissement > Toutes les intégrations.
    5. Vous pouvez également accéder à Intégrations > Intégrations de l'enrichissement > Toutes les intégrations > Recherche de perception
      Les intégrations configurées apparaissent sous la forme d’une série de cartes.
    6. Sur la carte Splunk Search , cliquez sur Configurer un nouvel enrichissement pour configurer l’intégration de Splunk Search .
    7. Renseignez les champs du formulaire Configurer un nouvel enrichissement.
      Tableau 1. Intégration de l'enrichissement
      Champ Description
      Nom Entrez un nom pour la configuration de la recherche de perceptions.
      Nom du fournisseur Nom du fournisseur. Les détails du fournisseur sélectionné sont renseignés par défaut. Par exemple, Splunk.
      Type d'intégration Type d’intégration que vous avez sélectionné. Par exemple, Recherche de menace.
      Description Saisissez la description de l’intégration Splunk. Par exemple, l’intégration d’enrichissement de Splunk facilite l’examen d’un observable en prenant en charge l’interrogation des journaux dans votre déploiement Splunk en ce qui concerne les indicateurs potentiellement malveillants.
      Configuration de l'intégration
      URL de Base de l'API Splunk L’URL de base que vous avez acquise sur le site Splunk.
      URL de lien [Facultatif] URL du lien qui renvoie à l’interface Web de Splunk, lorsqu’elle est disponible.
      Nom d'utilisateur Votre nom d’utilisateur Intel Elasticsearch.
      Mot de passe Votre mot de passe Intel Elasticsearch.
      Lignes max. Le nombre maximal de lignes que vous souhaitez rechercher.
      Tout premier résultat (jours) Les résultats les plus récents que vous souhaitez voir, en nombre de jours.
      Inclure les exemples de données brutes dans les résultats de recherche Sélectionnez cette option pour inclure des exemples de données brutes dans vos résultats de recherche d’observations. La quantité de données renvoyées dépend du paramètre que vous définissez sur le nombre de lignes de la propriété de données brutes dans les propriétés de Réponse aux incidents de sécurité.
      Déploiement sur site Environnement de déploiement sur site.
      Serveur MID Sélectionnez N’importe lequel pour utiliser n’importe quel Serveur MID actif ou sélectionnez un nom de Serveur MID spécifique.
      Remarque :
      La configuration de cette intégration active les workflows. Pour gérer les workflows, accédez à l’éditeur de workflow.
    8. Cliquez sur Enregistrer.
      Les détails de l’intégration sont validés et, par défaut, l’état de l’intégration Splunk est désactivé.
    9. Cliquez sur Activer pour activer l’intégration Splunk.

    Résultats

    Une fois configuré, Splunk peut être sélectionné pour effectuer une recherche de perception sur des observables dans Centre de sécurité des renseignements sur les menaces.