Liste de vérification pour l’intégration de l’ingestion d’événements Splunk Enterprise Security notables

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

3 minutes de lecture

Utilisez cette liste de vérification pour vous guider à travers toutes les tâches de l’intégration. La liste de vérification suivante comprend des tâches de configuration et d’installation, ainsi que des exemples de cas d’utilisation incluant les résultats attendus pour l’intégration.

Avant de commencer

Rôles requis : admin, sn_si.admin, sn_si.analyst, Splunk Enterprise Security admin

Pourquoi et quand exécuter cette tâche

Suivez la progression de l’installation, de l’installation et de la configuration de l’intégration à l’aide de la table suivante. Terminez toutes les tâches d’une étape avant de passer à l’étape suivante. Chaque ligne du tableau répertorie les tâches et identifie les rôles requis pour effectuer ces tâches. Les rubriques numérotées du guide d’installation et de configuration sont également référencées.

Les rôles requis pour chaque tâche sont répertoriés à chaque étape dans la table suivante.

Procédure

Suivez votre progression dans l’installation, l’installation et la configuration de l’intégration.
Terminez toutes les tâches d’une étape avant de passer à l’étape suivante.

Suivez les étapes du tableau dans l’ordre dans lequel elles sont présentées.

Tableau 1. Liste de vérification

	En tant qu’utilisateur doté du Now Platform rôle administrateur, configurez votre Now Platform instance. Affectez les utilisateurs ayant les rôles sn_si.admin et sn_si.analyst, selon les besoins. Installez et configurez un MID Server si le Splunk serveur est déployé au sein de votre réseau d’entreprise. Vérifiez que les modules d’extension ServiceNow Réponse aux incidents de sécurité sont activés pour votre version du Now Platformfichier . (Facultatif) Si vous souhaitez transférer manuellement des événements de votre Splunk Enterprise Security console vers votre Now Platform instance, vérifiez que vous avez affecté le rôle (sn_sec_splunkes.api_account_access) à un utilisateur avec l’autorisation d’administrateur Splunk Enterprise Security . Pour plus d'informations, consultez Configurer votre Now Platform instance pour l’intégration Splunk Enterprise Security.
	En tant qu’utilisateur doté du Now Platform rôle administrateur, installez et configurez l’application Splunk Enterprise Security à partir du ServiceNow Store. Téléchargez et installez l’application sur votre Now Platform instance. Configurez l’application et connectez-vous à votre Splunk Enterprise Security console. Pour plus d'informations, consultez Installer et configurer l’application pour l’intégration ServiceNow de l’ingestion d’événements notables Splunk Enterprise Security.
	(Facultatif) Si vous envisagez d’exporter manuellement des événements de votre Splunk Enterprise Security console vers votre Now Platform instance, effectuez les tâches suivantes : En tant qu’administrateur Splunk Enterprise Security , installez, configurez et activez le module complémentaire d’ingestion d’événements ServiceNow Security Operations pour Splunkbase dans Splunk Enterprise Security votre Splunk Enterprise Security console. En tant qu’administrateur Splunk Enterprise Security , si cela n’est pas déjà fait, enregistrez les recherches en tant qu’événements notables dans votre Splunk Enterprise Security console. Pour plus d'informations, consultez Configurez votre Splunk environnement pour l’ingestion manuelle d’événements pour l’intégration de l’ingestion d’événements Splunk Enterprise Security notables.
	En tant qu’utilisateur ayant le Now Platform rôle sn_si.admin, créez et nommez un profil d’événement. Sélectionnez le type de profil dans la liste de choix. Les options sont un profil d’alerte planifiée que vous utilisez pour ingérer des exemples de données, ou un profil d’événement que vous utilisez pour exporter des données de pièce jointe manuellement à partir de votre Splunk Enterprise Security console. Pour une alerte planifiée, sélectionnez une alerte disponible. Pour le profil des données exportées manuellement, créez une nouvelle carte ou copiez une carte existante. Pour plus d'informations, consultez Créer et nommer un profil d’événement pour l’intégration de l’ingestion d’événements Splunk Enterprise Security.
	En tant qu’utilisateur disposant du Now Platform rôle sn_si.admin, mappez les valeurs ingérées ou les données en pièce jointe exportées vers les Now Platform incidents de Splunk Enterprise Security sécurité. Extrayez des exemples de données pour une alerte planifiée. (Facultatif) Exporter manuellement les données de pièce jointe d’un Splunk Enterprise Security événement. Modifiez la configuration de mappage par défaut. Vous pouvez également ajouter des critères de filtrage, ajouter une alerte à un incident de sécurité existant et utiliser l’éditeur de script. Pour plus d'informations, consultez Mapper les champs d’événements notables pour l’intégration Splunk Enterprise Security et Créer des mappages pour Splunk ES l’examen des incidents d’événements notables et la contribution aux détails de l’événement (ingestion planifiée).
	En tant qu’utilisateur disposant du Now Platform rôle sn_si.admin, affichez un aperçu des données affichées Splunk Enterprise dans un Now Platform incident de sécurité. Corrigez les erreurs ou ajoutez des données manquantes afin qu’aucun message d’erreur ne s’affiche. Pour plus d'informations, consultez Prévisualiser l’incident de sécurité pour l’intégration de l’ingestion d’événements Splunk Enterprise Security.
	En tant qu’utilisateur ayant le rôle sn_si.admin, planifiez la Now Platform récupération d’alerte pour un profil avec une alerte planifiée. Pour plus d'informations, consultez Planifier et récupérer les événements notables nouveaux et mis à jour pour l’intégration de l’ingestion d’événements Splunk Enterprise Security.

Vous avez terminé avec succès les étapes de configuration et vérifié les résultats attendus pour l’intégration.