Liste de vérification pour Splunk Enterprise Security l’intégration de l’ingestion d’événements notables

Rversion finale: Australia

Mis à jour 12 mars 2026

3 minutes de lecture

Utilisez cette liste de vérification pour vous guider dans toutes les tâches de l’intégration. La liste de vérification suivante comprend des tâches de configuration et d’installation, ainsi que des exemples de cas d’utilisation qui incluent les résultats attendus pour l’intégration.

Avant de commencer

Rôles requis : sn_si.ingestion_profile_admin, admin, sn_si.admin, sn_si.analyst, Splunk Enterprise Security administrator

Remarque :

Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

Pourquoi et quand exécuter cette tâche

Suivez votre progression dans l’installation, l’installation et la configuration de l’intégration avec la table suivante. Effectuez toutes les tâches d’une étape avant de passer à l’étape suivante. Chaque ligne de la table répertorie les tâches et identifie les rôles requis pour les accomplir. Les rubriques numérotées du guide d’installation et de configuration sont également référencées.

Les rôles requis pour chaque tâche sont répertoriés pour chaque étape dans le tableau suivant.

Procédure

Suivez votre progression dans l’installation, l’installation et la configuration de l’intégration.
Effectuez toutes les tâches d’une étape avant de passer à l’étape suivante.

Suivez les étapes du tableau dans l’ordre dans lequel elles sont présentées.

Tableau 1. Liste de vérification

	En tant qu’utilisateur disposant du ServiceNow AI Platform rôle administrateur, configurez votre ServiceNow AI Platform instance. Affectez aux utilisateurs les rôles sn_si.ingestion_profile_admin (ou sn_si.admin) et sn_si.analyst selon les besoins. Installez et configurez un serveur MID si le Splunk serveur est déployé au sein de votre réseau d’entreprise. Vérifiez que les modules d’extension ServiceNow Réponse aux incidents de sécurité sont activés pour votre version du ServiceNow AI Platform. (Facultatif) Si vous souhaitez transférer manuellement des événements de votre Splunk Enterprise Security console vers votre ServiceNow AI Platform instance, vérifiez que vous avez affecté le rôle (sn_sec_splunkes.api_account_access) à un utilisateur ayant l’autorisation Splunk Enterprise Security administrateur. Pour plus d'informations, consultez Configurez votre ServiceNow AI Platform instance pour l’intégration Splunk Enterprise Security.
	En tant qu’utilisateur disposant du ServiceNow AI Platform rôle admin, installez et configurez l’application Splunk Enterprise Security à partir du ServiceNow Store. Téléchargez et installez l’application sur votre ServiceNow AI Platform instance. Configurez l’application et connectez-vous à votre Splunk Enterprise Security console. Pour plus d'informations, consultez Installer et configurer Splunk Enterprise Security l’intégration de l’ingestion des événements notables.
	(Facultatif) Si vous avez l’intention d’exporter des événements manuellement de votre Splunk Enterprise Security console vers votre ServiceNow AI Platform instance, effectuez les tâches suivantes : En tant qu’administrateur Splunk Enterprise Security , installez, configurez et activez le ServiceNow module complémentaire Ingestion d’événements Security Operations pour Splunk Enterprise Security à partir de splunkbase dans votre Splunk Enterprise Security console. En tant qu’administrateur Splunk Enterprise Security , si ce n’est pas déjà fait, enregistrez les recherches en tant qu’événements notables dans votre Splunk Enterprise Security console.
	En tant qu’utilisateur disposant du rôle ServiceNow AI Platform sn_si.ingestion_profile_admin , créez et nommez un profil d’événement. Sélectionnez le type de profil dans la liste de choix. Les options sont un profil d’alerte planifiée que vous utilisez pour ingérer des exemples de données ou un profil d’événement que vous utilisez pour exporter des données de pièce jointe manuellement à partir de votre Splunk Enterprise Security console. Pour une alerte planifiée, sélectionnez une alerte disponible. Pour le profil des données exportées manuellement, créez une carte ou copiez une carte existante. Pour plus d'informations, consultez Créer et nommer un profil d’événement pour l’intégration d’ingestion d’événements Splunk Enterprise Security.
	En tant qu’utilisateur disposant du rôle ServiceNow AI Platform sn_si.ingestion_profile_admin, mappez les valeurs ingérées ou les données de pièce jointe exportées depuis vers ServiceNow AI Platform les incidents de Splunk Enterprise Security sécurité. Extrayez des exemples de données pour une alerte planifiée. (Facultatif) Exportez manuellement les données de pièce jointe à partir d’un Splunk Enterprise Security événement. Modifiez la configuration de mappage par défaut. Vous pouvez également ajouter des critères de filtrage, ajouter une alerte à un incident de sécurité existant et utiliser l’éditeur de script. Pour plus d'informations, consultez Explorer le mappage et Mapper les événements notables.
	En tant qu’utilisateur disposant du rôle ServiceNow AI Platform sn_si.ingestion_profile_admin , prévisualisez les données qui s’affichent Splunk Enterprise sur un ServiceNow AI Platform incident de sécurité. Corrigez les erreurs ou ajoutez les données manquantes afin qu’aucun message d’erreur ne s’affiche. Pour plus d'informations, consultez Prévisualiser l’incident de sécurité.
	En tant qu’utilisateur disposant du rôle ServiceNow AI Platform sn_si.ingestion_profile_admin , planifiez la récupération d’alerte pour un profil avec une alerte planifiée. Pour plus d'informations, consultez Planifier et récupérer les événements notables.

Vous avez terminé avec succès les étapes de configuration et vérifié les résultats attendus pour l’intégration.