Splunk 環境の設定

オーストラリアセキュリティ管理

Release

australia

ft:locale

ja-JP

ft:publication_title

オーストラリアセキュリティ管理

ft:clusterId

security

bundleId

security

workflow

Technology

Security Operations Event Ingestion Addon for Splunk ES ServiceNow セットアップ

リリースバージョン: Australia

更新日 2026年03月12日

所要時間：6分

Splunk ES 用の ServiceNow Security Operations Event Ingestion アドオンを使用すると、Splunk と ServiceNow Security Operations 間のシームレスな統合が可能になり、Splunk からセキュリティインシデントにセキュリティ関連イベント ServiceNow 送信できます。アドオンのダウンロードとインストールの詳細な手順については、このガイドで説明されている手順に従ってください。

始める前に

手動イベントの取り込みに必要な splunkbase からのアドオンプラグインをインストールする前に、ServiceNow Store からこの統合用のアプリケーションがインストールされていることを確認してください。ServiceNow Store から統合用のアプリケーションをインストールしていない場合は、「Splunk Enterprise Event Ingestion 統合用の ServiceNow アプリケーションのインストールと設定」を参照し、手順に従ってインストールします。

必要なロール：ServiceNow AI Platform アドミニストレーター (admin)

このタスクについて

重要:

手動イベント転送プロファイルを作成して、Splunk Enterprise Securityコンソールからオンデマンドでイベントを転送し、ServiceNowインスタンスにセキュリティインシデントレスポンス (SIR) を作成します。詳細については、「イベントプロファイルの作成と名前付け」を参照してください。

このアドオンセットアップは、Splunk プロファイルの手動イベント転送を有効にするために必要です。特定のアドオンに対して最大 2 つの構成を作成できます。(Splunk プライマリおよび Splunk セカンダリ)

手動イベント転送の場合は、Splunk Enterprise コンソールで最大 2 つの異なる ServiceNow AI Platform エンドポイント (インスタンス) を特定できます。イベントをエンドポイントに手動で転送して、セキュリティインシデントを作成します。たとえば、ステージング (開発) インスタンスと本番インスタンスの両方を指定できます。個別のインスタンスを指定し、各インスタンスのプライマリおよびセカンダリワークフローに名前を付けることで、さまざまなイベントの転送先を選択できます。

手順

ServiceNow Security Operations Event Ingestion Add-on for Splunk ES をまだインストールしていない場合は、次の手順に従ってインストールして構成します。
1. Splunkbase から ServiceNow Security Operations Event Ingestion Add-on for Splunk ES をダウンロードします。
2. プロンプトが表示されたら、 Splunk Enterpriseを再起動します。
  ServiceNow Security Operations Event Ingestion Add-on for Splunk ES が Splunk Enterprise Enterprise コンソールにインストールされている。次のステップは、アドオンを設定することです。

アドオンを設定するには、次の手順に従います。

関連エントリフォームで、 Splunk Enterpriseをクリックし、メニュードロップダウンリストの [アプリの管理] ギアアイコンを選択します。
アプリケーションのリストで、フィルターを使用して ServiceNow アプリを検索します。
ServiceNow Security Operations Event Ingestion Add-on for Splunk ES を探し、対応するセットアップアクションを選択します。
ServiceNow Security Operations Event Ingestion Add-on for Splunk ES は、3 つの異なるタブで構成されています。
- Splunk プライマリ：デフォルトまたはプライマリの Splunk 構成。
- Splunk セカンダリ：(オプション) バックアップまたは 2 番目の Splunk 構成。
- ログレベル：統合で生成されたレポートログのレベル (情報のタイプの名前)。
[Splunk プライマリ] タブを選択します。

フォームのフィールドに入力します。

表 : 1. Splunk プライマリ
フィールド	説明
ワークフローアクションラベル	インスタンスの名前。これは、Enterprise Security の [イベントアクション ] のドロップダウンにあるアクションになります。
URL	前のワークフローアクションラベルフィールドに入力した ServiceNow インスタンスの URL。
エンドポイント	ベース API パス。このフィールドのデフォルトは `/api/sn_sec_splunkes/notable_event_ingestion` です。
認証タイプ	API 要求に使用される認証方法。使用可能なオプションは次のとおりです。ベーシック認証:ユーザー名とパスワードを使用して要求を認証します。 OAuth 2.0 認証:アクセストークンを使用して要求を認証します。
ベーシック認証
ユーザー名	ユーザーのユーザー名。手動イベント転送を行うには、(sn_sec_splunkes.api_account_access) ロールを持つユーザーが、前の URL フィールドで指定されたインスタンスに存在する必要があります。このロールの割り当ての詳細については、「Splunk Enterprise Event Ingestion 統合での ServiceNow AI Platform インスタンスの設定」を参照してください。
パスワード	ユーザーのパスワード。手動イベント転送を行うには、(sn_sec_splunkes.api_account_access) ロールを持つユーザーが、前の URL フィールドで指定されたインスタンスに存在する必要があります。
パスワードの確認	パスワードを再入力して確認します。
OAuth 2.0 認証
クライアント ID	ServiceNow インスタンスで作成されたアプリのクライアント ID です。クライアント ID を取得する方法については、「 ServiceNow インスタンスでのアプリケーションレジストリの設定」を参照してください。
クライアントシークレット	ServiceNow インスタンスで作成されたアプリのクライアントシークレット。クライアントシークレットを取得する方法については、「 ServiceNow インスタンスでのアプリケーションレジストリの設定」を参照してください。
リダイレクト URL	この URL をコピーして、アプリケーションレジストリレコードの [リダイレクト URL] フィールドに貼り付けます。

[保存] を選択します。
[Splunk セカンダリ] タブを選択します。
フォームのフィールドに入力します。
フィールドは [Splunk プライマリ] タブと同じです。
[保存] を選択します。

注:
特定のアドオンに対して最大 2 つの構成を作成できます。(ベーシック認証と別の OAuth 2.0 認証)
[ログレベル] タブを選択します。

フォームのフィールドに入力します。

表 : 2. ログ記録レベル
フィールド	説明
ログレベル	統合で生成されたレポートログのレベル (情報のタイプの名前)。値を次のオプションに更新することもできます。 info error warn debug デフォルト値は INFO です。

[保存] を選択します。

次のタスク

Splunk ES 向け ServiceNow Security Operations Event Ingestion アドオンの使用