Configurer l’environnement Splunk
ServiceNow L’intégration de Security Operations permet une intégration transparente entre Splunk et ServiceNow Security Operations. Pour configurer ou modifier l’instance où les ServiceNow nouveaux incidents de sécurité et événements de sécurité sont créés, utilisez l’action de configuration dans la liste des applications.
Avant de commencer
Installez le module d’extension Gestion des événements pour accéder à la table em_event.
Rôle requis : sn_si.integration_user, sn_si.analyst
Pourquoi et quand exécuter cette tâche
Si vous souhaitez exporter des événements manuellement et à la demande à partir de votre Splunk Enterprise console pour l’intégration, téléchargez, installez et configurez le ServiceNow module complémentaire Security Operations Integration à partir de Splunkbase dans votre Splunk Enterprise console.
Ce ServiceNow module complémentaire d’extension est requis pour que des incidents de sécurité puissent être créés à partir d’événements exportés manuellement dans votre ServiceNow AI Platform instance. Ce ServiceNow module complémentaire de ServiceNow Security Operations Integration est disponible sur Splunkbase.
Procédure
-
Remplissez les champs du formulaire.
Champ Description URL URL de l’instance ServiceNow de votre Splunk Enterprise Security console ou Splunk Cloud instance. Type d'authentification Méthode d’authentification à utiliser pour les demandes d’API. Les options disponibles sont les suivantes : - Authentification de base : utilise un nom d’utilisateur et un mot de passe pour authentifier les demandes.
- Authentification OAuth 2.0 : utilise des jetons d’accès pour authentifier les demandes.
Authentification de base Nom d'utilisateur Nom d'utilisateur de l'utilisateur Un utilisateur ayant le rôle (sn_si.integration_user, sn_si.analyst) doit être présent dans l’instance ServiceNow spécifiée dans le champ URL précédent.
Mot de passe Mot de passe de l’utilisateur. Un utilisateur ayant le rôle (sn_si.integration_user, sn_si.analyst) doit être présent dans l’instance ServiceNow spécifiée dans le champ URL précédent.
Confirmer le mot de passe Entrez le mot de passe pour le confirmer. Authentification OAuth 2.0 ID client ID client de l’application créée sur le ServiceNow serveur. Pour en savoir plus sur l’obtention de l’ID client, consultez Configurez le registre d’application sur l’instance ServiceNow Secret client Secret client de l’application créée sur le ServiceNow serveur. Pour en savoir plus sur l’obtention du secret client, consultez Configurez le registre d’application sur l’instance ServiceNow URL de redirection L’URL vers laquelle la redirection doit être effectuée. Copiez et collez cette URL dans le champ URL de redirection de l’enregistrement des registres d’application.
Proxy facultatif Proxy URL URL proxy de votre Splunk Enterprise Security console ou Splunk Cloud instance. Port Adresse du port. Nom d'utilisateur Nom d’utilisateur que vous avez créé pour le compte de proxy sur la Splunk Enterprise Security console. Mot de passe Mot de passe que vous avez créé pour le compte de proxy sur la Splunk Enterprise Security console. Confirmer le mot de passe Entrez le mot de passe pour le confirmer. Configuration du niveau de connexion Niveau de connexion Niveau des journaux de génération de rapports générés par l’intégration, c’est-à-dire le nom du type d’information. Vous pouvez également mettre à jour la valeur selon les options suivantes : - infos
- erreur
- avertir
- déboguer
Par défaut, la valeur est info.
Sélection d’API Sélection d’API Sélectionnez l’une des API suivantes : - Table API
- API de jeu d’importation
Que faire ensuite
Utilisation ServiceNow du module complémentaire Security Operations Integration