Configurer ou modifier l’instance dans laquelle les incidents ou les événements sont créés

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 7 minutes de lecture

    • Pour configurer ou modifier l’instance ServiceNow dans laquelle les nouveaux incidents de sécurité et événements de sécurité sont créés, utilisez l’action Configuration dans la liste des applications.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Ouvrez Splunk.
    2. Cliquez sur l’icône d’engrenage Applications ou sur l’élément de menu contextuel Gérer les applications .
    3. Dans la liste des applications, recherchez les applications ServiceNow à l’aide du filtre.
    4. Recherchez l’intégration de ServiceNow Security Operations et cliquez sur l’action de configuration correspondante.
    5. Renseignez les champs du formulaire.
      ChampDescription
      Spécifier ServiceNow Server  
      URL URL de votre console ou Splunk Cloud de votre Splunk Enterprise Security instance. L’URL doit inclure le port d’API, par exemple : https://mysplunkserver.com:8089
      Type d'authentification Option permettant de sélectionner le type d’authentification. Vous pouvez sélectionner l’authentification de base ou l’authentification OAuth 2.0.
      • Si vous utilisez le nom d’utilisateur de compte API et le mot de passe API pour la configuration, cochez la case Authentification de base.

        Cette option est désactivée par défaut.

      • Si vous utilisez l’authentification OAuth 2.0 pour la configuration, cochez la case Authentification OAuth 2.0 .

        Cette option est désactivée par défaut.
      Authentification de base  
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour votre compte d’utilisateur API sur la Splunk Enterprise Security console.
      Mot de passe Mot de passe que vous avez créé pour votre compte d’utilisateur API sur la Splunk Enterprise Security console.
      Confirmer le mot de passe Saisissez le mot de passe pour le confirmer.
      Authentification OAuth 2.0  
      ID client ID client de l’application créée sur ServiceNow Server.
      Secret client Secret client de l’application créée sur ServiceNow Server.
      URL de redirection URL vers laquelle la redirection s’effectue. Vous pouvez copier et coller cette URL dans votre URL de redirection du registre ServiceNow.
      Proxy facultatif  
      Proxy URL URL du proxy pour votre console ou Splunk Cloud votre Splunk Enterprise Security instance.
      Port Adresse du port.
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour le compte proxy sur la Splunk Enterprise Security console.
      Mot de passe Mot de passe que vous avez créé pour le compte proxy sur la Splunk Enterprise Security console.
      Confirmer le mot de passe Saisissez le mot de passe pour le confirmer.
      Configuration du niveau de journalisation  
      Niveau de connexion Niveau des journaux de génération de rapports générés par l’intégration, c’est-à-dire le nom du type d’informations. Vous pouvez également mettre à jour la valeur pour les options suivantes :
      • info
      • erreur
      • Avertir
      • debug

      Par défaut, la valeur est info.
      Sélection d’API  
      Sélection d’API Sélectionnez l’une des API suivantes :
      • API de table
      • API de jeu d'importation

      Intégration ServiceNow Security Operations configurée sur Splunk

    6. Cliquez sur Enregistrer.
    7. Vous pouvez également rechercher l’intégration d’ingestion d’événements ServiceNow et cliquer sur l’action de configuration correspondante.
      L’intégration de l’ingestion d’événements ServiceNow est configurée en trois onglets différents.
      • Splunk primaire : la configuration Splunk principale ou par défaut.
      • Splunk secondaire : (facultatif) La sauvegarde ou la deuxième configuration Splunk.
      • Niveau de journalisation : niveau des journaux de génération de rapports générés par l’intégration, c’est-à-dire le nom du type d’informations.
    8. Sélectionnez l’onglet Splunk Principal .
    9. Renseignez les champs du formulaire.
      ChampDescription
      Étiquette de l’action du workflow

      Nom de la console principale ou de l’instance Splunk Enterprise SecuritySplunk Cloud primaire utilisée pour l’intégration.

      Les espaces sont pris en charge pour les noms, mais pas les parenthèses. Par exemple, saisissez SplunkES2.
      URL URL de votre console principale ou de l’instance Splunk Enterprise SecuritySplunk Cloud principale. L’URL doit inclure le port d’API, par exemple : https://mysplunkserver.com:8089
      Point de terminaison Point de terminaison pour votre console principale ou l’instance Splunk Enterprise SecuritySplunk Cloud primaire.
      Type d'authentification Option permettant de sélectionner le type d’authentification. Vous pouvez sélectionner l’authentification de base ou l’authentification OAuth 2.0.
      • Si vous utilisez le nom d’utilisateur de compte API et le mot de passe API pour la configuration, cochez la case Authentification de base.

        Cette option est désactivée par défaut.

      • Si vous utilisez l’authentification OAuth 2.0 pour la configuration, cochez la case Authentification OAuth 2.0 .

        Cette option est désactivée par défaut.
      Authentification de base  
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour votre compte d’utilisateur API sur la Splunk Enterprise Security console.
      Mot de passe Mot de passe que vous avez créé pour votre compte d’utilisateur API sur la Splunk Enterprise Security console.
      Confirmer le mot de passe Saisissez le mot de passe pour le confirmer.
      Authentification OAuth 2.0  
      ID client ID client de l’application créée sur ServiceNow Server. Pour plus d’informations sur la façon d’obtenir l’ID client, voir Configurer le registre d’application sur l’instance ServiceNow
      Secret client Secret client de l’application créée sur le serveur. Pour plus d’informations sur la façon d’obtenir le secret client, consultez Configurer le registre d’application sur l’instance ServiceNow
      URL de redirection URL vers laquelle la redirection s’effectue. Vous pouvez copier et coller cette URL dans votre URL de redirection du registre ServiceNow. Pour plus d’informations, voir Configurer le registre d’application sur l’instance ServiceNow
      Configuration du proxy en option  
      Proxy URL URL du proxy pour votre console secondaire ou Splunk Cloud votre Splunk Enterprise Security instance secondaire.
      Port Adresse du port.
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour le compte proxy sur la Splunk Enterprise Security console secondaire.
      Mot de passe Mot de passe que vous avez créé pour le compte proxy sur la Splunk Enterprise Security console secondaire.
      Confirmer le mot de passe Saisissez le mot de passe pour le confirmer.

      Intégration de l’ingestion d’événements ServiceNow configurée sur Splunk

    10. Facultatif : Sélectionnez l’onglet Splunk Secondaire .
    11. Facultatif : Renseignez les champs du formulaire.
      ChampDescription
      Étiquette de l’action du workflow

      Nom de la Splunk Enterprise Security console secondaire ou de l’instance Splunk Cloud secondaire utilisée pour l’intégration.

      Les espaces sont pris en charge pour les noms, mais pas les parenthèses. Par exemple, saisissez SplunkES2.
      URL URL de votre console secondaire ou de l’instance Splunk Enterprise SecuritySplunk Cloud secondaire. L’URL doit inclure le port d’API, par exemple : https://mysplunkserver.com:8089
      Point de terminaison Point de terminaison de votre console secondaire ou de l’instance Splunk Enterprise SecuritySplunk Cloud secondaire.
      Type d'authentification Option permettant de sélectionner le type d’authentification. Vous pouvez sélectionner l’authentification de base ou l’authentification OAuth 2.0.
      • Si vous utilisez le nom d’utilisateur de compte API et le mot de passe API pour la configuration, cochez la case Authentification de base.

        Cette option est désactivée par défaut.

      • Si vous utilisez l’authentification OAuth 2.0 pour la configuration, cochez la case Authentification OAuth 2.0 .

        Cette option est désactivée par défaut.
      Authentification de base  
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour votre compte d’utilisateur API sur la Splunk Enterprise Security console.
      Mot de passe Mot de passe que vous avez créé pour votre compte d’utilisateur API sur la Splunk Enterprise Security console.
      Confirmer le mot de passe Saisissez le mot de passe pour le confirmer.
      Authentification OAuth 2.0  
      ID client ID client de l’application créée sur ServiceNow Server.
      Secret client Secret client de l’application créée sur ServiceNow Server.
      URL de redirection URL vers laquelle la redirection s’effectue. Vous pouvez copier et coller cette URL dans votre URL de redirection du registre ServiceNow.
      Configuration du proxy en option  
      Proxy URL URL du proxy pour votre console secondaire ou Splunk Cloud votre Splunk Enterprise Security instance secondaire.
      Port Adresse du port.
      Nom d'utilisateur Nom d’utilisateur que vous avez créé pour le compte proxy sur la Splunk Enterprise Security console secondaire.
      Mot de passe Mot de passe que vous avez créé pour le compte proxy sur la Splunk Enterprise Security console secondaire.
      Confirmer le mot de passe Saisissez le mot de passe pour le confirmer.
    12. Sélectionnez l’onglet Niveau de journalisation .
    13. Renseignez les champs du formulaire.
      ChampDescription
      Niveau de journal Niveau des journaux de génération de rapports générés par l’intégration, c’est-à-dire le nom du type d’informations. Vous pouvez également mettre à jour la valeur pour les options suivantes :
      • info
      • erreur
      • Avertir
      • debug

      Par défaut, la valeur est info.
    14. Cliquez sur Enregistrer.
      Une fois la validation terminée, la page Intégrations de sécurité s’affiche avec chacune de vos configurations. Sur chaque vignette de configuration valide, les boutons Mettre à jour et Supprimer s’affichent comme illustré dans la figure suivante.
      Remarque :
      Vous devez utiliser soit l’authentification de base, soit l’authentification OAuth 2.0 uniquement. Activez l’une des authentifications et saisissez les détails d’authentification correspondants. Si vous activez les deux, une erreur s’affichera.

      Une fois validée et soumise avec succès, chaque configuration du serveur d’ingestions d’événements Splunk est enregistrée sur la page Intégrations de sécurité sous forme de mosaïque. Si les vignettes de configuration que vous avez enregistrées ne s’affichent pas sur la page Intégrations de sécurité, dans le coin supérieur droit de la page, cliquez sur Oui dans la liste Afficher les configurations.