Richten Sie Ihre Splunk -Umgebung für die manuelle Event-Erfassung für die Splunk Enterprise -Integration der Event-Erfassung ein

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 6 Minuten Lesedauer

    • Wenn Sie Events manuell und bei Bedarf aus Ihrer Splunk Enterprise -Konsole für diese Integration exportieren möchten, installieren und richten Sie die Anwendung ServiceNow Security Operations Event Ingestion Add-on for Splunk Enterprise in Ihrer Splunk Enterprise-Konsole oder Splunk-Cloud-Instanz ein.

    Vorbereitungen

    Vergewissern Sie sich, dass Sie die Anwendung für diese Integration aus dem ServiceNow Store installiert haben, bevor Sie das Add-on-Plugin von splunkbase installieren, das für die manuelle Event-Erfassung erforderlich ist. Wenn Sie die Anwendung für die Integration von ServiceNow Storenicht installiert haben, lesen Sie Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration von Splunk Enterprise Event Ingestion ., und befolgen Sie die Anweisungen zur Installation.

    Erforderliche Rolle: Now Platform Administrator (admin)

    Warum und wann dieser Vorgang ausgeführt wird

    Die Installation und Einrichtung des Add-ons ServiceNow „ Security Operations Event Ingestion“ ist optional.

    Wenn Sie Events manuell und bei Bedarf aus Ihrer Splunk Enterprise -Konsole für die -Integration exportieren möchten, laden Sie das ServiceNow Security Operations Event Ingestion Add-on für Splunk Enterprise aus splunkbase in Ihrer Splunk Enterprise -Konsole herunter, installieren Sie es und richten Sie es ein.

    Dieses Erweiterungs-Add-on ServiceNow ist erforderlich, damit Security Incidents aus manuell exportierten Events in Ihrer Now Platform -Instanz erstellt werden können. Diese Anwendung ServiceNow Security Operations Event Ingestion Add-on for Splunk Enterprise ist auf splunkbaseverfügbar.

    Für die manuelle Event-Weiterleitung können Sie bis zu zwei verschiedene Now Platform -Endpunkte (Instanzen) in Ihrer Splunk Enterprise -Konsole identifizieren. Sie leiten die Events manuell an den Endpunkt oder die Endpunkte weiter, um Security Incidents zu erstellen. Sie können beispielsweise sowohl eine Staging-Instanz (Entwicklungsinstanz) als auch eine Produktionsinstanz angeben. Indem Sie separate Instanzen angeben und primäre und sekundäre Workflows für jede Instanz benennen, können Sie auswählen, wohin Sie verschiedene Events weiterleiten möchten.

    Prozedur

    1. Wenn Sie das Add-on „ ServiceNow Security Operations Event Ingestion“ für Splunk Enterprisenoch nicht installiert haben, führen Sie die folgenden Schritte aus, um es zu installieren und zu konfigurieren.
      1. Navigieren Sie zu splunkbase.
      2. Suchen Sie nach dem Add-on „ ServiceNow Security Operations Security Operations Event Ingestion“ für Splunk Enterprise.
        Hinweis:
        Stellen Sie sicher, dass Sie ServiceNow Security Operations Event Ingestion Add-on für Splunk Enterpriseausgewählt haben. Es gibt zusätzliche ServiceNow Add-ons, die in dieser Liste angezeigt werden. Diese Add-ons sind für verschiedene ServiceNow Splunk -Integrationen vorgesehen und für diese Integration nicht erforderlich.
      3. Laden Sie die Anwendung herunter.
      4. Öffnen Sie Ihr Konto Splunk Enterprise.
      5. Klicken Sie auf der Seite „Apps“ in der Dropdown-Liste des Menüs auf das Zahnradsymbol oder die Verknüpfung Apps verwalten.
      6. Klicken Sie oben links auf der angezeigten Seite „Apps“ auf App aus Datei installieren.
      7. Klicken Sie auf Dateiauswählen, wählen Sie ServiceNow Security Operations Event Ingestion Add-on for Splunk Enterpriseaus, und klicken Sie auf Hochladen.
      8. Wenn Sie dazu aufgefordert werden, starten Sie Splunk Enterpriseneu.
        Das Add-on ServiceNow Security Operations Event Ingestion für Splunk Enterprise wird in Ihrer Splunk Enterprise Enterprise-Konsole installiert. Der nächste Schritt zum Einrichten des Add-ons.
    2. Führen Sie die folgenden Schritte aus, um das Add-on einzurichten.
      1. Klicken Sie in Splunk Enterpriseauf das Zahnradsymbol für Apps oder auf Apps verwalten in der Dropdown-Liste des Menüs.
      2. Klicken Sie in der Liste der angezeigten Anwendungen in der Spalte Aktionen auf Setup für ServiceNow Security Operations Event Ingestion Add-on for Splunk Enterprise.
      3. Füllen Sie das Formular aus.
        Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular in der Konsole Splunk Enterprise.
      Feld im Abschnitt „Primäre ServiceNow-Instanz angeben“.Beschreibung
      Bezeichnung der Workflow-Aktion Name des Now Platform -Workflows für Ihre (primäre) Produktionsinstanz. Dieser Name ist der Name einer Now Platform -Instanz, die Ihre Benutzer, die Splunk -Events überwachen, als primäre Instanz identifizieren, z. B. ServiceNow Event Ingestion (Produktion).

      Der Standardwert für dieses Feld ist ServiceNow Event Ingestion (Produktion).

      In Ihrer Konsole Splunk Enterprise wird dieser Workflow-Name für die Produktionsinstanz (primär) in der erweiterten Dropdown-Liste Event-Aktionen einer Suche angezeigt. Dieser Name ist der Name Ihrer Produktionsinstanz. Sie können den Namen bearbeiten.
      URL Die URL für die Instanz Now Platform, die Sie im vorherigen Bezeichnungsfeld der Workflow-Aktion eingegeben haben.

      Kopieren Sie die URL in Ihren Browser, und fügen Sie sie in dieses Feld im Formular ein.
      Endpunkt API-Basispfad. Weitere Informationen finden Sie in der Abbildung nach der Tabelle.

      Wenn Sie keinen Wert für den Endpunkt Ihrer Produktionsinstanz Now Platform haben, führen Sie die folgenden Schritte aus.

      1. Melden Sie sich bei Ihrer Produktionsinstanz Now Platform als Benutzer mit der Systemadministratorrolle (admin) an.
      2. Geben Sie im Navigationsbereich Scripted REST APIs ein.
      3. Nachdem der Navigationsbereich aktualisiert wurde, wählen Sie das angezeigte Modul Scripted REST APIs aus.
      4. Wenn Event Ingestion nicht in der Spalte Name der angezeigten Liste der Scripted REST APIs aufgeführt ist, geben Sie im Suchfeld oben Event Ingestionein.
      5. Kopieren Sie in der Spalte Base API path (Basis-API-Pfad) auf der aktualisierten Seite diesen Wert, und fügen Sie ihn in das Feld Endpunkt des Formulars ein. Ein Beispiel für den Basis-API-Pfad ist /api/sn_sec_splunk_v2/event_ingestion.
      Benutzername Benutzername für Ihre Instanz Now Platform. Dieser Name ist der Benutzername für die Instanz Now Platform, in der Sie einem Benutzer die Rolle (sn_sec_splunk_v2.api_account_access) für die manuelle Event-Weiterleitung zugewiesen haben.

      Weitere Informationen zum Zuweisen dieser Rolle finden Sie unter Richten Sie Ihre Now Platform -Instanz für die Splunk Enterprise Event Ingestion -Integration ein.
      Passwort Passwort für Ihre Instanz Now Platform.

      Dieses Passwort ist das Passwort für die Instanz Now Platform, in der Sie einem Benutzer die Rolle (sn_sec_splunk_v2.api_account_access) für die manuelle Event-Weiterleitung zugewiesen haben.
      (Optional) Felder im Abschnitt Sekundäre ServiceNow-Instanz angeben Beschreibung

      Diese Felder sind optional. Sie müssen keine sekundäre Instanz angeben.
      Bezeichnung der Workflow-Aktion Name des Now Platform -Workflows für Ihre sekundäre Instanz (Staging-Instanz). Dieser Name ist der Name einer Now Platform Instanz, die Ihre Benutzer, die Splunk Events überwachen, als sekundäre Instanz identifizieren, z. B. ServiceNow Event Ingestion (Staging).

      In Ihrer Konsole Splunk Enterprise wird dieser Workflow-Name für die Staging-Instanz (sekundär) in der erweiterten Dropdown-Liste „Event-Aktionen“ einer Suche angezeigt. Diese Instanz Now Platform ist Ihre Staging-Instanz. Sie können den Namen bearbeiten.
      URL Die URL für die Instanz Now Platform, die Sie im vorherigen Bezeichnungsfeld der Workflow-Aktion für die sekundäre Instanz Now Platform ] eingegeben haben.

      Kopieren Sie die URL in Ihren Browser, und fügen Sie sie in dieses Feld im Formular ein.
      Endpunkt API-Basispfad. Dieser Wert für den Basis-API-Pfad für Ihre sekundäre Instanz ist derselbe Wert wie der Basis-API-Pfad für Ihre primäre Instanz. Weitere Informationen finden Sie in der vorherigen Abbildung des Formulars.
      Benutzername Benutzername für Ihre Bereitstellungsinstanz Now Platform. Der Benutzer muss über die Rolle (sn_sec_splunk_v2.api_account_access) verfügen.
      Passwort Passwort für Ihre Staging-Instanz Now Platform. Der Benutzer muss über die Rolle (sn_sec_splunk_v2.api_account_access) verfügen.
      Die folgende Abbildung zeigt ein Beispiel für die Liste der Scripted REST APIs in Now Platform. In der Liste wird die Position des Endpunktwerts einer Now Platform -Instanz angezeigt, die Sie im Formular als Teil des Setups für die Erweiterung ServiceNow „ Security Operations Event Ingestion Add-on for Splunk Enterprise “ in Ihrer Splunk Enterprise -Konsole eingegeben haben.
      Abbildung : 1. Liste der Scripted REST APIs in Now Platform
      Hervorgehobener API-Basispfad.
    3. Klicken Sie im Setup-Formular in der Konsole Splunk Enterprise auf Speichern, um Ihre Änderungen zu speichern.

      Nach einigen Minuten wird oben links im Formular in Ihrer Splunk Enterprise -Konsole eine Meldung angezeigt, dass der Datensatz erfolgreich aktualisiert wurde.

      Nachdem Sie das Formular gespeichert haben, sind die Namen (Workflow-Aktionsbezeichnungen) für Ihre Now Platform Instanzen, die Sie im Formular erstellt haben, in der Auswahlliste Ereignisaktionen für ein ausgewähltes Event einer Suche in Ihrer Splunk Enterprise -Konsole verfügbar.

    Nächste Maßnahme

    Wenn Sie Suchen noch nicht in Ihrer Splunk Enterprise -Konsole gespeichert haben, besteht der nächste Schritt darin, Suchen als Warnungen in Ihrer Splunk Enterprise -Konsole zu speichern.