Configurer Splunk les paramètres de sécurité de l’entreprise

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Utilisez les paramètres de sécurité d’entreprise Splunk (ES) pour modifier les configurations prédéfinies et leurs valeurs en fonction de vos besoins.

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Procédure

    1. Accédez à la Tous > Intégration Splunk ES > Paramètres Splunk ES.
    2. Renseignez les champs du formulaire.
      Tableau 1. Paramètres Splunk ES
      Champ Description
      Appliquez une limite au nombre d’événements notables qui peuvent être regroupés en un seul incident. Option permettant d’appliquer une limite au nombre de vos événements notables que vous souhaitez regrouper en un seul incident.

      Par défaut, cette valeur est définie sur 100.
      Appliquer une limite au nombre d’incidents de sécurité qui peuvent être créés dans une période de 24 heures. Option permettant d’appliquer une limite au nombre d’incidents de sécurité qui peuvent être créés dans une période de 24 heures.

      Par défaut, cette valeur est définie sur 1 000.
      Appliquez une limite au nombre de valeurs à analyser dans chaque champ reçu de Splunk. Option permettant d’appliquer une limite au nombre de valeurs que vous souhaitez analyser pour chaque champ reçu de Splunk.

      Par défaut, cette valeur est définie sur 1 000.
      Nombre de règles de corrélation à extraire Splunk. Option permettant de définir le nombre de règles de corrélation à récupérer à partir de Splunk.

      Par défaut, cette valeur est définie sur 500.
      Le paramètre de durée de vie pour Splunk la tâche de recherche en secondes. Option permettant de définir le paramètre de durée de vie pour la Splunk recherche sous forme de secondes.

      Par défaut, cette valeur est définie sur 600.
      Nombre de types notables à regrouper en une seule recherche. Option permettant de définir le nombre total de types notables que vous souhaitez regrouper en une seule recherche.

      Par défaut, la valeur est définie sur 20.
      Nombre de jours de conservation des métadonnées de la Splunk tâche de recherche dans ServiceNow Option permettant de définir le nombre de jours pendant lesquels vous souhaitez conserver les métadonnées de la tâche de recherche Splunk dans ServiceNow.

      Par défaut, cette valeur est définie sur 30.
      Caractère du délimiteur pour diviser les valeurs dans les mappages de champs. Option permettant de définir le caractère de délimiteur pour diviser les valeurs dans les mappages de champs.

      Par défaut, la valeur est définie comme suit : (,).
      Nombre de minutes de chevauchement à ajouter lors de l’extraction des événements à partir de Splunk (pour surmonter le délai d’indexation de Splunk) Option permettant de définir le nombre de minutes de chevauchement à ajouter lors de la récupération des événements de Splunk pour surmonter le délai d’indexation de Splunk.

      Par défaut, cette valeur est définie sur 30.
      Extraire les événements notables mis à jour Option permettant de récupérer les événements notables mis à jour.
      Configurez les propriétés système suivantes pour extraire les événements notables mis à jour.
      1. sn_sec_splunkes.pull_updated
        • Définissez la valeur sur vrai.
        • Par défaut : vrai
      2. sn_sec_splunkes. fetch_new_updated_notables
        • Définir sur vrai pour la version 8.0.x ou ultérieure.
        • Définir sur faux pour les versions antérieures à 8.0.x

      Par défaut, la valeur est définie sur Non.
      Activez ce paramètre pour mettre à jour les configurations sources existantes Splunk pour la prise en charge de l’authentification basée sur les jetons. Vous devez mettre à jour la configuration d’intégration avec les détails du jeton une fois ce paramètre activé. Option permettant de mettre à jour la configuration source existante Splunk vers la prise en charge de l’authentification basée sur le jeton à partir d’une version existante.
      Remarque :
      Après la mise à niveau vers la nouvelle version, le champ de jeton devient indisponible. Vous devez activer ce paramètre pour obtenir l’authentification basée sur le jeton, après quoi vous devez mettre à jour la configuration d’intégration avec les détails du jeton.

      Par défaut, la valeur est définie sur Non.
      Cochez la case pour extraire les notables fermés pendant l’ingestion. Option permettant d’extraire les événements fermés dans l’instance ServiceNow Splunk ES. Si cette option n’est pas cochée, seuls les événements actifs sont extraits dans l’instance.

      Par défaut, la valeur est définie sur Non.
    3. Sélectionnez Enregistrer.