Installez et configurez l’application ServiceNow pour l’intégration d’ingestion d’événements Splunk Enterprise Security notables

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Avant d’exécuter l’intégration sur votre Now Platform® instance, effectuez ces étapes d’installation et de configuration afin que l’application s’intègre Réponse aux incidents de sécurité correctement aux produits et Opérations de sécurité sur votre Now Platform® instance.

    Avant de commencer

    Rôle requis : administrateur

    Procédure

    1. Si vous n’avez pas installé l’application d’ingestion d’événements Splunk Enterprise SecurityServiceNow Store à partir de pour l’intégration, consultez et suivez les étapes pour l’installer.
    2. Une fois l’application installée, accédez à Intégrations > Configurations des intégrations et localisez la vignette Ingestions d’événements Splunk .
    3. Pour configurer l’application, cliquez sur Nouveau.

      Vignette des ingestions SplunkEvent
    4. Si un bouton Configurer s’affiche sur une mosaïque, cliquez dessus pour modifier une configuration existante.
    5. Dans la boîte de dialogue Configuration des ingestions d’événements qui s’affiche, renseignez les champs.
      ChampDescription
      Nom Nom de la console ou Splunk Cloud de l’instance Splunk Enterprise Security utilisée pour l’intégration.

      Les espaces sont pris en charge pour les noms, mais les parenthèses ne sont pas prises en charge. Par exemple, saisissez SplunkES2.
      URL de Base de l'API Splunk URL de votre console ou Splunk Cloud de votre Splunk Enterprise Security instance. L’URL doit inclure le port API, par exemple : https://mysplunkserver.com:8089
      Authentification de base La valeur par défaut est désactivée.

      Si vous utilisez le nom d’utilisateur du compte API et le mot de passe API pour la configuration, cochez la case.
      Nom d’utilisateur du compte API Nom d’utilisateur que vous avez créé pour votre compte utilisateur API dans la Splunk Enterprise Security console.
      Mot de passe API Mot de passe que vous avez créé pour votre compte utilisateur API dans la Splunk Enterprise Security console.
      Basé sur un jeton (disponible à partir de la version 12.0.0) Jeton que vous avez créé pour votre compte d’utilisateur API sur la console Splunk Enterprise Security.
      Jeton Jeton que vous avez créé pour votre compte d’utilisateur API sur la Splunk console Enterprise Security.
      Déploiement sur site La valeur par défaut est désactivée.

      Si vous utilisez une version sur site de Splunk Enterprise Security, vérifiez que cette case est cochée.
      Serveur MID Option permettant de choisir un serveur MID particulier à configurer dans votre environnement, qui sera utilisé par cette intégration pour extraire les événements notables vers ServiceNow.
      Vous pouvez sélectionner un serveur MID spécifique dans la liste ou sélectionner n’importe lequel pour activer la sélection automatique d’un serveur MID valide dans la liste pour cette intégration.
      Remarque :
      • Le serveur MID sélectionné pendant cette période de configuration s’applique à l’ensemble de cette intégration.
      • Seuls les MID Servers actifs et validés sont affichés dans cette liste. Par défaut, cette valeur est définie sur N’importe lequel.

      Par exemple, il existe trois MID Servers A, B et C. Si vous sélectionnez N’importe lequel, l’un de ces MID Servers est automatiquement sélectionné et s’applique à l’ensemble de cette intégration. Si vous sélectionnez un serveur MID spécifique, disons C, le C du serveur MID sélectionné s’applique à l’ensemble de cette intégration.

      Si vous souhaitez modifier le MID Server, vous devez le reconfigurer à partir de la vignette Configuration de l’application.
      La figure suivante est un exemple de formulaire rempli pour la configuration d’une version locale avec Splunk Enterprise Security un MID Server.
      Ingestion d’événements Splunk

      Chaque Splunk Enterprise Security type d’événement notable que vous ingérez à partir de votre Splunk Enterprise Security console d’examen d’incident nécessite un profil d’événement unique dans votre Now Platform® instance. Toutefois, la source que vous configurez sur le formulaire de configuration des ingestions d’événements peut être réutilisée pour plusieurs Now Platform® profils, à condition que chaque profil ingère des types d’événements notables uniques.

    6. Cliquez sur Envoyer.
      Une fois la validation terminée, la page Intégrations de sécurité s’affiche avec chacune de vos configurations. Sur chaque vignette de configuration valide, les boutons Mettre à jour et Supprimer sont affichés, comme illustré dans la figure suivante.
      Remarque :
      Les utilisateurs doivent utiliser soit l’authentification de base, soit l’authentification basée sur les jetons. Si vous activez les deux, l’erreur suivante s’affiche.
      Configuration de l’ingestion d’événements Splunk
      Remarque :
      Si les utilisateurs préfèrent mettre à jour les vignettes de configuration existantes en fonction des jetons, ils doivent activer Activer ce paramètre pour mettre à jour les configurations sources existantes Splunk pour le paramètre de prise en charge de l’authentification basée sur les jetons dans le Splunk module Paramètres d’entreprise.

      Bouton Mettre à jour / Supprimer

      Une fois validée et soumise, chaque configuration du serveur d’ingestions d’événements Splunk est enregistrée sous forme de vignette dans la page Intégrations de sécurité. Si vos vignettes de configuration enregistrées ne s’affichent pas sur la page Intégrations de sécurité, dans le coin supérieur droit de la page, dans la liste Afficher les configurations, sélectionnez Oui.

    Que faire ensuite

    Vous avez correctement installé et configuré l’application. L’étape suivante consiste à créer un profil d’événement.