Richten Sie Ihre Instanz Now Platform für die Integration Splunk Enterprise Security ein

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Im folgenden Abschnitt werden die Setupaufgaben aufgeführt, die Sie in der Instanz Now Platform® ausführen müssen, bevor Sie die Anwendung von ServiceNow Storeinstallieren.

    Erforderliche Rolle: admin.

    Sehen Sie sich die folgende Tabelle an, und vergewissern Sie sich, dass Sie alle aufgeführten Aufgaben abgeschlossen haben, bevor Sie die Anwendung herunterladen und installieren, um eine reibungslose Installation und Konfiguration zu gewährleisten.

    1. Vergewissern Sie sich, dass die erforderlichen Rollen Now Platform® und Security Incident Response (SIR) zugewiesen wurden.

      Die folgenden Rollen sind für die Installation, Einrichtung und Verwendung der -Integration in Ihrer Instanz Now Platform® von erforderlich.

      • Ein Benutzer mit der Administratorrolle Now Platform® (admin) installiert die Anwendung aus ServiceNow Store und weist die Rolle „Security Incident-Administrator“ (sn_si.admin) zu.
      • Wenn Sie wichtige Ereignisse für diese Integration manuell von Splunk Enterprise Security weiterleiten möchten, weist ein Benutzer mit der Administratorrolle Now Platform® einen Benutzer mit der Rolle (sn_sec_splunkes.api_account_access) in Now Platform®zu. Diese Rolle ermöglicht einem Anwender mit der Administratorrolle Splunk Enterprise Security den Zugriff auf die API in Now Platform®, die für die manuelle Ereignisweiterleitung für diese Integration erforderlich ist.

        Die Rolle (sn_sec_splunkes.api_account_access) ist für die -Integration nicht erforderlich, wenn Sie wichtige Ereignisse automatisch aus Splunk Enterprise Security in Ihrer -Instanz Now Platform® erfassen.

      • Ein Benutzer mit der Rolle sn_si.admin überwacht die folgenden Aufgaben in Now Platform®:
        • Er benennt Ereignisprofile und erstellt sie.
        • Wählt Werte aus Splunk Enterprise Security bis Now Platform® Security Incidents aus und ordnet sie zu.
        • Zeigt eine Vorschau der Details von Security Incidents auf Richtigkeit an, bevor die Konfiguration abgeschlossen wird.
        • Plant die laufende Erfassung wichtiger Ereignisse.
        • Aktiviert die Aktualisierung wichtiger Ereignisse, wenn ein SIR-Incident erstellt und geschlossen wird.
        • Weist die Rolle „Security Incident-Analyst“ (sn_si.analyst) zu.
        • Benutzer mit der Rolle sn_si.analyst arbeiten mit Security Incidents.

      Weitere Informationen finden Sie unter Managing roles.

    2. Weisen Sie die Anwenderrolle Splunk zu.

      Weisen Sie in Splunk ES eine Sicherheitsanalysten-Anwenderrolle (ess_analyst) zu, um alle integrationsbezogenen Aktivitäten auf dem Server Splunk auszuführen.

    3. Stellen Sie sicher, dass Sie Version 7.2.6 oder höher der Splunk API verwenden. Frühere Versionen werden nicht unterstützt.

      Wenn Sie Zugriff auf die -Konsole Splunk Enterprise Security haben, haben Sie Zugriff auf die API, die für diese Integration erforderlich ist. Für die API ist kein weiteres spezielles Setup erforderlich.

    4. Stellen Sie sicher, dass Sie einen MID-Server installiert und konfiguriert haben.

      Ein MID-Server in Ihrer Instanz Now Platform® ist erforderlich, um eine Verbindung zum Service Splunk herzustellen, wenn der Server Splunk innerhalb Ihres Unternehmensnetzwerks bereitgestellt wird. Weitere Informationen finden Sie unter MID-Server.

      Wenn Sie den Cloud-Service Splunk Enterprise Security verwenden, ist ein MID-Server nicht erforderlich.

    5. Vergewissern Sie sich, dass die Kernanwendungen ServiceNow, die zur Unterstützung der Integration erforderlich sind, installiert und aktiviert sind.

      Das Dependency-Plugin Security Incident Response (com.snc.si_dep) ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen für die Integration erforderlichen Security Operations -Anwendungen installieren und aktivieren.

      Stellen Sie sicher, dass die folgenden Security Operations -Anwendungen über ServiceNow Storeinstalliert und aktiviert sind. Falls nicht installiert, installieren und aktivieren Sie jeweils nur eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation zu gewährleisten.

      1. Security Incident Response
      2. – Framework für Sicherheitsintegration
      3. Sicherheitssupport Allgemein

      Weitere Informationen zur Installation der Security Operations -Kernanwendungen finden Sie unter Rufen Sie eine Berechtigung für ein Produkt oder eine Anwendung Security Operations der ab und Aktivieren Sie eine ServiceNow Store -Anwendung.

    Sie haben Ihre Instanz Now Platform® erfolgreich für die Integration eingerichtet. Der nächste Schritt besteht in der Installation der Anwendung Splunk Enterprise Security Notable Event Ingestion aus ServiceNow Store für die -Integration. Weitere Informationen finden Sie unter Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration Splunk Enterprise Security „ Notable Event Ingestion.

    Wenn Sie wichtige Ereignisse manuell und bei Bedarf von Ihrer Splunk Enterprise Security -Konsole für die Integration exportieren möchten, finden Sie weitere Informationen unter Richten Sie Ihre Umgebung Splunk für die manuelle Ereigniserfassung für die Integration Splunk Enterprise Security „ Notable Event Ingestion ein.