Prüfliste für die Splunk Enterprise Event Ingestion -Integration

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Verwenden Sie diese Prüfliste, um sich durch alle Aufgaben der Integration zu führen. Die folgende Prüfliste enthält Setup- und Installationsaufgaben sowie Beispiele für Anwendungsfälle mit den erwarteten Ergebnissen für die Integration.

    Vorbereitungen

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Verfolgen Sie Ihren Fortschritt bei der Einrichtung, Installation und Konfiguration der Integration anhand der folgenden Tabelle. Schließen Sie alle Aufgaben für einen Schritt ab, bevor Sie mit dem nächsten Schritt fortfahren. Jede Zeile der Tabelle listet Aufgaben auf und gibt die Rollen an, die zum Ausführen der Aufgaben erforderlich sind. Außerdem wird auf nummerierte Themen im Installations- und Konfigurationsleitfaden verwiesen.

    Erforderliche Rollen: Nachfolgend werden für jeden Schritt Rollen aufgeführt.

    Prozedur

    1. Richten Sie als Benutzer mit der Administratorrolle Now PlatformNow Platform ] Ihre Instanz ein.
      • Weisen Sie nach Bedarf Benutzer mit den Rollen sn_si.admin und sn_si.analyst zu.
      • Installieren und konfigurieren Sie einen MID-Server, wenn der -Server Splunk in Ihrem Unternehmensnetzwerk bereitgestellt wird.
      • Vergewissern Sie sich, dass die Plugins ServiceNow Security Incident Response für Ihr Release von Now Platformaktiviert sind.
      • Wenn Sie Ereignisse manuell von Ihrer Splunk Enterprise -Konsole an Ihre Now Platform -Instanz weiterleiten möchten, vergewissern Sie sich, dass Sie die Rolle (sn_sec_splunk_v2.api_account_access) einem Benutzer mit der Enterprise-Administratorberechtigung Splunk Enterprise zugewiesen haben.

      Weitere Informationen finden Sie unter Richten Sie Ihre Instanz Now Platform für die Integration Splunk Enterprise Event Ingestion ein.

      Sie haben die Einrichtungsschritte erfolgreich abgeschlossen und die erwarteten Ergebnisse für die Integration verifiziert.
    2. Installieren und konfigurieren Sie als Benutzer mit der Administratorrolle Now PlatformSplunk Enterprise Event Ingestion die Anwendung [] über ServiceNow Store.
      1. Laden Sie die Anwendung herunter, und installieren Sie sie in Ihrer Instanz Now Platform.
      2. Konfigurieren Sie die Anwendung, und stellen Sie eine Verbindung zu Ihrer Splunk Enterprise -Konsole her.

      Weitere Informationen finden Sie unter Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration Splunk Enterprise Event Ingestion ..

    3. Wahlweise: Wenn Sie Ereignisse manuell von der Konsole Splunk EnterpriseNow Platform in die Instanz [] exportieren möchten, gehen Sie wie folgt vor:
      1. Als Splunk Enterprise ]-Administrator müssen Sie das ServiceNow Security Operations Event Ingestion Add-on für Splunk Enterprise über splunkbase in Ihrer Splunk Enterprise -Konsole installieren, einrichten und aktivieren.
      2. Wenn Sie als Splunk Enterprise -Administrator dies noch nicht konfiguriert haben, können Sie Suchvorgänge als Warnungen in Ihrer Splunk Enterprise -Konsole speichern.

        Weitere Informationen finden Sie unter Richten Sie Ihre Splunk -Umgebung für die manuelle Ereigniserfassung für die Splunk Enterprise -Ereigniserfassungsintegration ein und Speichern Sie Suchen in Ihrer Splunk Enterprise -Konsole für die Splunk Enterprise Event Ingestion -Integration.

    4. Als Benutzer mit der Rolle Now Platform sn_si.admin müssen Sie ein Ereignisprofil erstellen und benennen.

      Wählen Sie den Profiltyp aus der Auswahlliste aus. Optionen sind ein geplantes Warnungsprofil, das Sie zum Erfassen von Beispieldaten verwenden, oder ein Ereignisprofil, das Sie zum manuellen Exportieren von Anhangsdaten aus Ihrer Splunk Enterprise -Konsole verwenden.

      • Wählen Sie für eine geplante Warnung eine verfügbare Warnung aus.
      • Erstellen Sie für ein Profil für manuell exportierte Daten eine neue Karte, oder kopieren Sie eine vorhandene Karte.

      Weitere Informationen finden Sie unter Erstellen und benennen Sie ein Ereignisprofil für die Splunk Enterprise Event Ingestion -Integration.

    5. Ordnen Sie als Benutzer mit der Rolle Now Platform sn_si.admin erfasste Werte oder Anhangsdaten, die aus Security Incidents Now Platform exportiert werden, nach Splunk Enterprise zu.
      1. Rufen Sie Beispieldaten für eine geplante Warnung ab.
      2. Exportieren Sie Anhangdaten für ein Ereignis manuell aus Splunk Enterprise.
      3. Bearbeiten Sie die Standardzuordnungskonfiguration.
      4. Fügen Sie optional Filterkriterien hinzu, hängen Sie eine Warnung an einen vorhandenen Security Incident an, und verwenden Sie den Skript-Editor.

      Weitere Informationen finden Sie unterZuordnung von Warnungen und Ereignissen für die Splunk Enterprise Event Ingestion -Integration und Zuordnungswarnungen für die Splunk Enterprise Event Ingestion -Integration.

    6. Zeigen Sie als Benutzer mit der Rolle Now Platform sn_si.admin eine Vorschau der Daten von Splunk Enterprise an, die zu einem Security Incident Now Platform ] angezeigt werden.

      Beheben Sie Fehler, oder fügen Sie fehlende Daten hinzu, damit keine Fehlermeldungen angezeigt werden.

      Weitere Informationen finden Sie unter Zeigen Sie eine Vorschau des Security Incident für die -Integration Splunk Enterprise Event Ingestion an.

    7. Planen Sie als Benutzer mit der Rolle „sn_si.admin Now Platform “ den Warnungsabruf für ein Profil mit einer geplanten Warnung.

      Weitere Informationen finden Sie unter Planen Sie Warnungen für die Integration Splunk Enterprise Event Ingestion, und rufen Sie sie ab.