Instalar e configurar a aplicação ServiceNow para a integração de ingestão de eventos notáveis Splunk Enterprise Security

Gestão de segurança do Yokohama

Release

yokohama

ft:locale

pt-BR

ft:publication_title

Gestão de segurança do Yokohama

ft:clusterId

security

bundleId

security

workflow

Technology

Instalar e configurar a aplicação ServiceNow para a integração de ingestão de eventos notáveis Splunk Enterprise Security

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

3 min. de leitura

Antes de executar a integração em sua instância Now Platform®, conclua estas etapas de instalação e configuração para que a aplicação se integre corretamente aos produtos Resposta a incidentes de segurança e Operações de segurança em sua instância Now Platform®.

Antes de Iniciar

Função necessária: ess_analyst

Atribua uma função de usuário de Analista de segurança (ess_analyst) no Splunk ES para executar todas as atividades relacionadas à integração no servidor Splunk.

Procedimento

Se você não instalou a aplicação Splunk Enterprise Security de ingestão de eventos de ServiceNow Store para a integração, consulte Instalar uma integração Operações de segurança e siga as etapas para instalá-la.
Depois de instalar a aplicação com sucesso, navegue até Integrações > Configurações de integrações e localize o bloco Splunk Ingestões de eventos.
Para configurar a aplicação, clique em Novo.
Como alternativa, se um botão Configurar for exibido em um bloco, clique nele para editar uma configuração existente.

Na caixa de diálogo Configuração de ingestões de eventos exibida, preencha os campos.

Campo	Descrição
Nome	Nome do console Splunk Enterprise Security ou instância Splunk Cloud usada para a integração. Espaços são compatíveis com nomes, mas parênteses não são compatíveis. Por exemplo, insira `SplunkES2`.
URL base da API Splunk	URL do console Splunk Enterprise Security ou instância Splunk Cloud. O URL deve incluir a porta da API, por exemplo: `https://mysplunkserver.com:8089`
Autenticação básica	O padrão é desabilitado. Se você estiver usando o nome de usuário da conta da API e a senha da API para configuração, marque a caixa de seleção.
Nome de usuário da conta da API	Nome de usuário que você criou para sua conta de usuário de API no console Splunk Enterprise Security.
Senha da API	Senha que você criou para sua conta de usuário de API no console Splunk Enterprise Security.
Baseado em token (disponível a partir da versão 12.0.0)	Token que você criou para sua conta de usuário de API no console do Splunk Enterprise Security.
Token	Token que você criou para sua conta de usuário de API no Splunk console de segurança empresarial.
Implantação no Local	O padrão é desabilitado. Se você estiver usando uma versão baseada no local do Splunk Enterprise Security, verifique se esta caixa de seleção está marcada.
MID Server	Opção para escolher um MID Server específico para configurar em seu ambiente, que será usado por esta integração para extrair eventos notáveis para ServiceNow. Você pode selecionar um MID Server específico na lista ou selecionar Qualquer para habilitar uma seleção automática de um MID Server válido na lista para esta integração. Nota: O MID Server selecionado durante este tempo de configuração se aplica a toda esta integração. Somente os MID Servers ativos e validados são exibidos nesta lista. Por padrão, o valor é definido como Qualquer. Por exemplo, há três MID Servers A, B e C. Se você selecionar Qualquer, um desses MID Servers será selecionado automaticamente e se aplicará a toda esta integração. Se você selecionar um MID Server específico, digamos C, o MID Server C selecionado se aplicará a toda esta integração. Se você quiser mudar o MID Server, será necessário reconfigurá-lo no bloco Configuração da aplicação.

A figura a seguir é um exemplo de um formulário preenchido para uma configuração de uma versão local do Splunk Enterprise Security com um MID Server.
Ingestão de eventos do Splunk

Cada tipo de evento notável Splunk Enterprise Security que você ingere do console de análise de incidentes Splunk Enterprise Security requer um perfil de evento exclusivo em sua instância Now Platform®. No entanto, a origem que você configura no formulário Configuração de ingestões de eventos pode ser reutilizada para vários perfis Now Platform®, desde que cada perfil ingere tipos de eventos notáveis exclusivos.

Clique em Enviar.
Depois que a validação for concluída com sucesso, a página Integrações de segurança será exibida com cada uma das suas configurações. Em cada bloco de configuração válido, os botões Atualizar e Excluir são exibidos, conforme mostrado na figura a seguir.
Nota:
Os usuários precisam usar a Autenticação básica ou a Autenticação baseada em token. Habilitar ambos gerará o seguinte erro.

Nota:
Se os usuários preferirem atualizar os blocos de configuração existentes para baseados em token, eles precisarão habilitar Ativar esta configuração para atualizar as configurações de origem Splunk existentes para a configuração de suporte à autenticação baseada em token no módulo Splunk Configurações do Enterprise.

Depois de validada e enviada com sucesso, cada configuração de servidor de Ingestões de eventos Splunk é salva na página Integrações de segurança como um bloco. Se os blocos de configuração salvos não forem exibidos na página Integrações de segurança, no canto superior direito da página, na lista Mostrar configurações, selecione Sim.

O que Fazer Depois

Você instalou e configurou a aplicação com sucesso. A próxima etapa é criar um perfil de evento.