Installer et configurer Splunk Enterprise Security l’intégration de l’ingestion des événements notables

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Installez et configurez Splunk Enterprise Security l’intégration de l’ingestion des événements notables pour Opérations de sécurité l’application à partir du ServiceNow Store sur votre ServiceNow AI Platform® instance.

    Avant de commencer

    Rôle requis : ess_analyst

    Affectez un rôle d’utilisateur d’analyste de sécurité (ess_analyst) dans Splunk ES pour effectuer toutes les activités liées à l’intégration sur le serveur Splunk.

    Pourquoi et quand exécuter cette tâche

    Procédure

    1. Si vous n’avez pas installé l’application d’ingestion d’événements Splunk Enterprise Security à partir de pour ServiceNow Store l’intégration, consultez Installer une Opérations de sécurité intégration et suivez les étapes pour l’installer.
    2. Une fois l’application installée, accédez à Tous > Opérations de sécurité > Intégrations > Configurations d'intégration.
    3. Recherchez la vignette Splunk Enterprise Security - Ingestion d’événements , puis sélectionnez Configurer.
    4. Remplissez les champs du formulaire.
      ChampDescription
      Nom Nom de la console ou Splunk Cloud de l’instance Splunk Enterprise Security utilisée pour l’intégration.

      Les espaces sont pris en charge pour les noms, mais les parenthèses ne le sont pas. Par exemple, entrez SplunkES2.
      URL de Base de l'API Splunk URL de votre Splunk Enterprise Security console ou Splunk Cloud instance. L’URL doit inclure le port de l’API, par exemple : https://mysplunkserver.com:8089
      Authentification de base Désactivé par défaut.

      Si vous utilisez le nom d’utilisateur du compte API et le mot de passe de l’API pour la configuration, cochez la case.
      Nom d'utilisateur du compte API Nom d’utilisateur que vous avez créé pour votre compte utilisateur API sur la Splunk Enterprise Security console.
      Mot de passe de l’API Mot de passe que vous avez créé pour votre compte utilisateur API sur la Splunk Enterprise Security console.
      Basé sur un jeton (disponible à partir de la version 12.0.0) Jeton que vous avez créé pour votre compte d’utilisateur API sur la console Splunk Enterprise Security.
      Jeton Jeton que vous avez créé pour votre compte d’utilisateur API sur la console de sécurité d’entreprise Splunk .
      Déploiement sur site Désactivé par défaut.

      Si vous utilisez une version sur site de Splunk Enterprise Security, vérifiez que la case est cochée.
      Serveur MID Option permettant de choisir un serveur MID particulier à configurer dans votre environnement, qui sera utilisé par cette intégration pour extraire des événements notables dans ServiceNow.
      Vous pouvez sélectionner un serveur MID spécifique dans la liste ou sélectionner n’importe lequel pour permettre la sélection automatique d’un serveur MID valide dans la liste pour cette intégration.
      Remarque :
      • Le serveur MID sélectionné pendant cette durée de configuration s’applique à l’ensemble de cette intégration.
      • Seuls les serveurs MID actifs et validés sont affichés dans cette liste. Par défaut, la valeur est définie sur N’importe lequel.

      Par exemple, il existe trois serveurs MID A, B et C. Si vous sélectionnez N’importe lequel, l’un de ces serveurs MID est automatiquement sélectionné et s’applique à l’ensemble de cette intégration. Si vous sélectionnez un serveur MID spécifique, par exemple C, le serveur MID C sélectionné s’applique tout au long de cette intégration.

      Si vous souhaitez modifier le serveur MID, vous devez le reconfigurer à partir de la vignette Configuration de l’application.

      Chaque Splunk Enterprise Security type d’événement notable que vous ingérez à partir de votre Splunk Enterprise Security console d’examen des incidents nécessite un profil d’événement unique dans votre ServiceNow AI Platform® instance. Toutefois, la source que vous configurez dans le formulaire Configuration d’ingestion d’événement peut être réutilisée pour plusieurs ServiceNow AI Platform® profils tant que chaque profil ingère des types d’événements notables uniques.

    5. Sélectionnez Envoyer.
      La vignette d’intégration configurée s’affiche.

    Que faire ensuite

    Créer et nommer un profil d’événement pour l’intégration d’ingestion d’événements Splunk Enterprise Security