Configurer et activer Splunk l’intégration

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Configurez l’intégration de l’enrichissement Splunk pour rechercher automatiquement vos journaux et ajouter des informations pertinentes sur les perceptions aux données de Threat Intelligence.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Important :
    • Téléchargez l’application Rechercher Splunk à partir de pour ServiceNow Store commencer.
    • Installez et activez le Centre de sécurité des renseignements sur les menaces module d’extension pour activer l’intégration de Rechercher Splunk .
    • À partir de votre Splunk instance, copiez l’URL de base de l’API, l’URL du lien, le nom d’utilisateur et le mot de passe.

    Procédure

    1. Dans votre instance, accédez au Centre de sécurité des renseignements sur les menaces.
    2. Télécharger l’intégration à partir de ServiceNow Store.
    3. Une fois l’installation terminée, accédez à Espaces de travail > Centre de sécurité des renseignements sur les menaces.
    4. Sélectionner Intégrations > Intégrations de l'enrichissement > Toutes les intégrations.
    5. Accédez à la Intégrations > Intégrations de l'enrichissement > Toutes les intégrations > Recherche de perception
      Les intégrations configurées s’affichent sous la forme d’une série de cartes.
    6. Dans la carte de recherche Splunk , sélectionnez Configurer un nouvel enrichissement pour configurer l’intégration de Splunk Search .
    7. Renseignez les champs du formulaire Configurer un nouvel enrichissement.
      Tableau 1. Intégration de l’enrichissement
      Champ Description
      Nom Nom de la configuration de recherche de perceptions.
      Nom du fournisseur Nom du fournisseur. Les détails du fournisseur sélectionné sont renseignés par défaut. Par exemple, Splunk.
      Type d'intégration Type d’intégration que vous avez sélectionné. Par exemple, Recherche de menace.
      Description Description de l’intégration Splunk . Par exemple, L’intégration Splunk d’enrichissement facilite l’enquête d’un observable en prenant en charge l’interrogation des journaux dans votre Splunk déploiement en ce qui concerne les indicateurs potentiellement malveillants.
      Configuration de l'intégration
      Splunk URL de base de l’API URL de base à partir du Splunk site.
      URL de lien [Facultatif] URL qui renvoie à l’interface Splunk Web, le cas échéant.
      Nom d'utilisateur Votre nom d’utilisateur Intel Splunk .
      Mot de passe Votre mot de passe Intel Splunk .
      Lignes max. Nombre maximum de lignes à rechercher.
      Tout premier résultat (jours) Affiche les premiers résultats en nombre de jours.
      Inclure les exemples de données brutes dans les résultats de recherche Lorsque cette option est sélectionnée, des exemples de données brutes sont inclus dans les résultats de recherche d’observations. La quantité de données renvoyées dépend de votre paramètre dans le nombre de lignes de la propriété de données brutes dans les propriétés de Réponse aux incidents de sécurité.
      Déploiement sur site Indique si le déploiement se fait sur site.
      Serveur MID Sélectionnez N’importe quelle option pour utiliser n’importe quel serveur MID actif ou sélectionnez un nom de serveur MID spécifique.
      Remarque :
      La configuration de cette intégration active les workflows. Pour gérer les workflows, accédez à Concepteur de flux > Flux et apportez les modifications nécessaires dans l’éditeur de workflow, si nécessaire.
    8. Sélectionnez Enregistrer pour appliquer les modifications.
      Les détails de l’intégration sont validés et, par défaut, l’état de l’intégration Splunk est désactivé.
    9. Sélectionnez Activer pour activer l’intégration Splunk .

    Que faire ensuite

    Après avoir configuré l’intégration, vous pouvez choisir Splunk d’effectuer des recherches de perception sur les observables dans Centre de sécurité des renseignements sur les menaces.