Splunk統合の構成と有効化

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:2分

    • ログを自動的に検索し、関連するサイティング情報を脅威インテリジェンスデータに追加するように Splunk 拡張統合を構成します。

    始める前に

    必要なロール:sn_sec_tisc.admin

    重要:
    • ServiceNow Store から Splunk Search アプリをダウンロードして開始します。
    • 脅威インテリジェンスセキュリティセンター プラグインをインストールしてアクティブ化し、Splunk Search 統合を有効にします。
    • Splunk インスタンスから、API ベース URL、リンク URL、ユーザー名、およびパスワードをコピーします。

    手順

    1. インスタンスで、 脅威インテリジェンスセキュリティセンターに移動します。
    2. ServiceNow Storeから統合をダウンロードする .
    3. インストールが完了したら、次の場所に移動します ワークスペース > 脅威インテリジェンスセキュリティセンター.
    4. 選択 統合 > 拡張統合 > すべての統合.
    5. 移動先 統合 > 拡張統合 > すべての統合 > サイティング検索
      構成済みの統合が一連のカードとして表示されます。
    6. Splunk 検索カードで、[新しい拡張を構成] を選択して Splunk 検索統合を構成します。
    7. [新しい拡張を構成 (Configure New Enrichment)] フォームのフィールドに入力します。
      表 : 1. 拡張統合
      フィールド 説明
      名前 サイティング検索構成の名前。
      ベンダー名 ベンダーの名前。選択したベンダーの詳細がデフォルトで入力されます。Splunk など。
      統合タイプ 選択した統合のタイプ。例:「脅威のルックアップ」。
      説明 Splunk 統合の説明。たとえば、「 Splunk 拡張統合は、悪意のある可能性があるインジケーターに関連して、 Splunk 展開内でログのクエリをサポートすることで、観測事象の調査に役立ちます。
      データ連携の構成
      Splunk API ベース URL Splunkサイトからのベース URL。
      リンク URL [オプション] Splunk Web インターフェイスにリンクする URL (利用可能な場合)。
      ユーザー名 Intel Splunk ユーザー名。
      パスワード Intel Splunk パスワード。
      最大行数 検索する最大行数。
      最も早い結果 (日数) 最も早い結果を日数単位で表示します。
      検索結果に生データサンプルを含めます 選択すると、サイティング検索結果に生データのサンプルが含まれます。返されるデータの量は、[セキュリティインシデントレスポンス] プロパティの [生データの行数] プロパティの設定によって異なります。
      オンプレミス展開 展開がオンプレミスであるかどうかを示します。
      MID サーバー 任意の オプションを選択して 、任意のアクティブな MID サーバーを使用するか、特定の MID サーバー名を選択します。
      注:
      この統合を設定すると、ワークフローが有効になります。ワークフローを管理するには、 フローデザイナー > フロー 必要に応じて、ワークフローエディターで必要な変更を行います。
    8. [ 保存] を選択して変更を適用します。
      統合の詳細が検証され、 Splunk 統合のステータスはデフォルトでオフになっています。
    9. [ 有効化] を選択して Splunk 統合を有効にします。

    次のタスク

    統合を構成した後、 Splunk を選択して、 脅威インテリジェンスセキュリティセンター の観測事象でサイティング検索を実行できます。