Prüfliste für die Splunk Enterprise Security Integration „Notable Event Ingestion“.
Verwenden Sie diese Prüfliste, um sich durch alle Aufgaben der Integration zu führen. Die folgende Prüfliste enthält Setup- und Installationsaufgaben sowie Beispiele für Anwendungsfälle mit den erwarteten Ergebnissen für die Integration.
Vorbereitungen
Erforderliche Rolle: admin, sn_si.admin, sn_si.analyst, Splunk Enterprise Security Administrator
Warum und wann dieser Vorgang ausgeführt wird
Verfolgen Sie Ihren Fortschritt bei der Einrichtung, Installation und Konfiguration der Integration anhand der folgenden Tabelle. Schließen Sie alle Aufgaben für einen Schritt ab, bevor Sie mit dem nächsten Schritt fortfahren. Jede Zeile der Tabelle listet Aufgaben auf und gibt die Rollen an, die zum Ausführen der Aufgaben erforderlich sind. Außerdem wird auf nummerierte Themen im Installations- und Konfigurationsleitfaden verwiesen.
Die für jede Aufgabe erforderlichen Rollen werden mit jedem Schritt in der folgenden Tabelle aufgelistet.
Prozedur
-
Befolgen Sie die Schritte in der Tabelle in der Reihenfolge, in der sie angezeigt werden.
Tabelle : 1. Prüfliste 
Richten Sie als Benutzer mit der Administratorrolle Now PlatformNow Platform ] Ihre Instanz ein.
- Weisen Sie nach Bedarf Benutzer mit den Rollen sn_si.admin und sn_si.analyst zu.
- Installieren und konfigurieren Sie einen MID-Server, wenn der -Server Splunk in Ihrem Unternehmensnetzwerk bereitgestellt wird.
- Vergewissern Sie sich, dass die Plugins ServiceNow Security Incident Response für Ihr Release von Now Platformaktiviert sind.
- (Optional) Wenn Sie Ereignisse manuell von Ihrer Splunk Enterprise Security -Konsole an Ihre Now Platform -Instanz weiterleiten möchten, vergewissern Sie sich, dass Sie die Rolle (sn_sec_splunkes.api_account_access) einem Benutzer mit der Administratorberechtigung Splunk Enterprise Security zugewiesen haben.
Weitere Informationen finden Sie unter Richten Sie Ihre Instanz Now Platform für die Integration Splunk Enterprise Security ein.
Installieren und konfigurieren Sie als Benutzer mit der Administratorrolle Now PlatformSplunk Enterprise Security die Anwendung [] über ServiceNow Store.
- Laden Sie die Anwendung herunter, und installieren Sie sie in Ihrer Instanz Now Platform.
- Konfigurieren Sie die Anwendung, und stellen Sie eine Verbindung zu Ihrer Splunk Enterprise Security -Konsole her.
Weitere Informationen finden Sie unter Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration Splunk Enterprise Security „ Notable Event Ingestion.
(Optional) Wenn Sie Ereignisse manuell von der Konsole Splunk Enterprise SecurityNow Platform in die Instanz [] exportieren möchten, gehen Sie wie folgt vor:
- Als Splunk Enterprise Security ]-Administrator müssen Sie das ServiceNow Security Operations Event Ingestion Add-on für Splunk Enterprise Security über splunkbase in Ihrer Splunk Enterprise Security -Konsole installieren, einrichten und aktivieren.
- Speichern Sie als Splunk Enterprise Security -Administrator, sofern dies noch nicht konfiguriert ist, Suchen als beachtenswerte Ereignisse in Ihrer Splunk Enterprise Security -Konsole.
Weitere Informationen finden Sie unter Richten Sie Ihre Umgebung Splunk für die manuelle Ereigniserfassung für die Integration Splunk Enterprise Security „ Notable Event Ingestion ein.
Als Benutzer mit der Rolle Now Platform sn_si.admin müssen Sie ein Ereignisprofil erstellen und benennen.
Wählen Sie den Profiltyp aus der Auswahlliste aus. Optionen sind ein geplantes Warnungsprofil, das Sie zum Erfassen von Beispieldaten verwenden, oder ein Ereignisprofil, das Sie zum manuellen Exportieren von Anhangsdaten aus Ihrer Splunk Enterprise Security -Konsole verwenden.
- Wählen Sie für eine geplante Warnung eine verfügbare Warnung aus.
- Erstellen Sie für ein Profil für manuell exportierte Daten eine neue Karte, oder kopieren Sie eine vorhandene Karte.
Weitere Informationen finden Sie unter Erstellen und benennen Sie ein Ereignisprofil für die Splunk Enterprise Security Ereigniserfassungsintegration.
Ordnen Sie als Benutzer mit der Rolle Now Platform sn_si.admin erfasste Werte oder Anhangsdaten, die aus Security Incidents Now Platform exportiert werden, nach Splunk Enterprise Security zu.
- Rufen Sie Beispieldaten für eine geplante Warnung ab.
- (Optional) Exportieren Sie Anhangdaten für ein Ereignis manuell aus Splunk Enterprise Security.
- Bearbeiten Sie die Standardzuordnungskonfiguration.
- Fügen Sie optional Filterkriterien hinzu, hängen Sie eine Warnung an einen vorhandenen Security Incident an, und verwenden Sie den Skript-Editor.
Weitere Informationen finden Sie unter Zuordnung wichtiger Ereignisfelder für die Splunk Enterprise Security -Integration und Zuordnungen für Splunk ES – Überprüfung von Incidents für wichtige Ereignisse und Details zu beitragenden Ereignissen (geplante Erfassung) erstellen.
- Zeigen Sie als Benutzer mit der Rolle Now Platform sn_si.admin eine Vorschau der Daten von Splunk Enterprise an, die zu einem Security Incident Now Platform ] angezeigt werden.
- Beheben Sie Fehler, oder fügen Sie fehlende Daten hinzu, damit keine Fehlermeldungen angezeigt werden.
Weitere Informationen finden Sie unter Zeigen Sie eine Vorschau des Security Incident für die Splunk Enterprise Security Event Ingestion-Integration an.
Planen Sie als Benutzer mit der Rolle „sn_si.admin Now Platform “ den Warnungsabruf für ein Profil mit einer geplanten Warnung.
Weitere Informationen finden Sie unter Planen und rufen Sie neue und aktualisierte wichtige Ereignisse für die Splunk Enterprise Security Event Ingestion-Integration ab.
Sie haben die Einrichtungsschritte erfolgreich abgeschlossen und die erwarteten Ergebnisse für die Integration verifiziert.