Prüfliste für die Integration von Splunk Enterprise Security Notable Event Ingestion

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

3 Minuten Lesedauer

Verwenden Sie diese Prüfliste, um alle Aufgaben der Integration zu durchlaufen. Die folgende Prüfliste enthält Setup- und Installationsaufgaben sowie Beispiele für Anwendungsfälle, die die erwarteten Ergebnisse für die Integration enthalten.

Vorbereitungen

Erforderliche Rolle: admin, sn_si.admin, sn_si.analyst, Splunk Enterprise Security -administrator

Warum und wann dieser Vorgang ausgeführt wird

Verfolgen Sie Ihren Fortschritt bei der Einrichtung, Installation und Konfiguration der Integration mit der folgenden Tabelle nach. Schließen Sie alle Aufgaben für einen Schritt ab, bevor Sie mit dem nächsten Schritt fortfahren. In jeder Zeile der Tabelle werden Aufgaben aufgelistet und die Rollen angegeben, die zum Ausführen der Aufgaben erforderlich sind. Nummerierte Themen des Installations- und Konfigurationsleitfadens werden ebenfalls referenziert.

Die für jede Aufgabe erforderlichen Rollen werden für jeden Schritt in der folgenden Tabelle aufgelistet.

Prozedur

Verfolgen Sie Ihren Fortschritt bei der Einrichtung, Installation und Konfiguration der Integration nach.
Schließen Sie alle Aufgaben für einen Schritt ab, bevor Sie mit dem nächsten Schritt fortfahren.

Führen Sie die Schritte in der Tabelle in der Reihenfolge aus, in der sie angezeigt werden.

Tabelle : 1. Prüfliste

	Richten Sie als Benutzer mit der Administratorrolle Now Platform ] Ihre Now Platform -Instanz ein. Weisen Sie Benutzer mit den Rollen sn_si.admin und sn_si.analyst nach Bedarf zu. Installieren und konfigurieren Sie einen MID Server, wenn der Server Splunk in Ihrem Unternehmensnetzwerk bereitgestellt wird. Vergewissern Sie sich, dass die Plugins ServiceNow Security Incident Response für Ihr Release von Now Platformaktiviert sind. (Optional) Wenn Sie Events manuell von Ihrer Splunk Enterprise Security -Konsole an Ihre Now Platform -Instanz weiterleiten möchten, vergewissern Sie sich, dass Sie die Rolle (sn_sec_splunkes.api_account_access) einem Benutzer mit der Administratorberechtigung Splunk Enterprise Security zugewiesen haben. Weitere Informationen finden Sie unter Richten Sie Ihre Now Platform -Instanz für die Splunk Enterprise Security -Integration ein.
	Installieren und konfigurieren Sie als Benutzer mit der Administratorrolle Now PlatformSplunk Enterprise Security die Anwendung [] aus dem ServiceNow Store. Laden Sie die Anwendung herunter, und installieren Sie sie in Ihrer Instanz Now Platform. Konfigurieren Sie die Anwendung, und stellen Sie eine Verbindung zu Ihrer Splunk Enterprise Security -Konsole her. Weitere Informationen finden Sie unter Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration von Splunk Enterprise Security Notable Event Ingestion.
	(Optional) Wenn Sie Events manuell aus Ihrer Splunk Enterprise Security -Konsole in Ihre Now Platform -Instanz exportieren möchten, führen Sie die folgenden Aufgaben aus: Installieren, richten Sie als Splunk Enterprise Security ]-Administrator das Add-on „ ServiceNow Security Operations Event Ingestion“ für Splunk Enterprise Security aus splunkbase in Ihrer Splunk Enterprise Security -Konsole ein, richten Sie es ein und aktivieren Sie es. Speichern Sie als Splunk Enterprise Security -Administrator, falls noch nicht konfiguriert, Suchen als wichtige Ereignisse in Ihrer Splunk Enterprise Security -Konsole. Weitere Informationen finden Sie unter Richten Sie Ihre Splunk -Umgebung für die manuelle Event-Erfassung für die Integration von Splunk Enterprise Security Notable Event Ingestion ein.
	Erstellen und benennen Sie als Benutzer mit der Rolle Now Platform sn_si.admin ein Event-Profil. Wählen Sie den Profiltyp aus der Auswahlliste aus. Optionen sind ein geplantes Warnungsprofil, das Sie zum Erfassen von Beispieldaten verwenden, oder ein Event-Profil, mit dem Sie Anhangdaten manuell aus Ihrer Splunk Enterprise Security -Konsole exportieren können. Wählen Sie für eine geplante Warnung eine verfügbare Warnung aus. Erstellen Sie für ein Profil für manuell exportierte Daten eine neue Zuordnung, oder kopieren Sie eine vorhandene Zuordnung. Weitere Informationen finden Sie unter Erstellen und benennen Sie ein Event-Profil für die Splunk Enterprise Security Event Ingestion-Integration.
	Ordnen Sie als Benutzer mit der Rolle Now Platform sn_si.admin erfasste Werte oder Anhangdaten, die aus Splunk Enterprise Security exportiert werden, zu Now Platform Security Incidents zu. Rufen Sie Beispieldaten für eine geplante Warnung ab. (Optional) Exportieren Sie Anhangdaten für ein Event manuell aus Splunk Enterprise Security. Bearbeiten Sie die Standardzuordnungskonfiguration. Fügen Sie optional Filterkriterien hinzu, hängen Sie eine Warnung an einen vorhandenen Security Incident an, und verwenden Sie den Skript-Editor. Weitere Informationen finden Sie unter Zuordnung wichtiger Event-Felder für die Splunk Enterprise Security -Integration und Zuordnungen für Splunk ES Incident-Überprüfung für wichtiges Event und beitragende Event-Details erstellen (geplante Erfassung).
	Zeigen Sie als Benutzer mit der Rolle Now Platform sn_si.admin eine Vorschau der Daten aus Splunk Enterprise an, die für einen Now Platform Security Incident angezeigt werden. Beheben Sie alle Fehler, oder fügen Sie fehlende Daten hinzu, damit keine Fehlermeldungen angezeigt werden. Weitere Informationen finden Sie unter Zeigen Sie eine Vorschau des Security Incident für die Splunk Enterprise Security Event Ingestion-Integration an.
	Planen Sie als Benutzer mit der Rolle Now Platform sn_si.admin den Warnungsabruf für ein Profil mit einer geplanten Warnung. Weitere Informationen finden Sie unter Planen und rufen Sie neue und aktualisierte wichtige Events für die Splunk Enterprise Security Event Ingestion-Integration ab.

Sie haben die Setup-Schritte erfolgreich abgeschlossen und die erwarteten Ergebnisse für die Integration überprüft.