Configurer votre Now Platform instance pour l’intégration Splunk Enterprise Security

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • La section suivante répertorie les tâches de configuration que vous devez effectuer dans votre Now Platform® instance avant d’installer l’application à partir du ServiceNow Store.

    Rôle requis : admin.

    Reportez-vous au tableau suivant et vérifiez que vous avez effectué toutes les tâches répertoriées avant de télécharger et d’installer l’application pour garantir une installation et une configuration fluides.

    1. Vérifiez que vous avez affecté les rôles requis Now Platform® et Réponse aux incidents de sécurité (SIR).

      Les rôles suivants sont requis pour l’installation, la configuration et l’utilisation de l’intégration dans votre Now Platform® instance.

      • Un utilisateur disposant du rôle d’administrateur Now Platform® (admin) installe l’application à partir du rôle d’administrateur ServiceNow Store d’incident de sécurité (sn_si.admin) et lui attribue le rôle.
      • Si vous souhaitez transférer manuellement des événements notables à partir de Splunk Enterprise Security pour cette intégration, un utilisateur ayant le Now Platform® rôle administrateur affecte un utilisateur avec le rôle (sn_sec_splunkes.api_account_access) dans le Now Platform®. Ce rôle permet à un utilisateur ayant le rôle d’administrateur Splunk Enterprise Security d’accéder à l’API dans le qui est requis pour le Now Platform® transfert manuel d’événements pour cette intégration.

        Le rôle (sn_sec_splunkes.api_account_access) n’est pas requis pour l’intégration si vous ingérez automatiquement des événements notables à partir de Splunk Enterprise Security votre Now Platform® instance.

      • Un utilisateur disposant du rôle sn_si.admin supervise les tâches suivantes dans :
        • Nomme, crée et modifie les profils d’événements
          • Now Platform®.
        • Sélectionne et mappe les valeurs des incidents de sécurité aux Now Platform® incidents de Splunk Enterprise Security sécurité.
        • Prévisualise l’exactitude des détails de l’incident de sécurité avant de finaliser la configuration.
        • Planifie l’ingestion d’événements notables en cours.
        • Active les mises à jour des événements notables lorsqu’un incident SIR est créé et fermé.
        • Affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst).
        • Les utilisateurs avec l’sn_si.analyst travaillent avec des incidents de sécurité.

      Pour en savoir plus, reportez-vous Managing rolesà .

    2. Affectez le rôle d’utilisateur Splunk .

      Affecter un rôle d’utilisateur Analyste de la sécurité (ess_analyst) dans Splunk ES pour effectuer toutes les activités liées à l’intégration sur le Splunk serveur.

    3. Vérifiez que vous utilisez la version 7.2.6 ou ultérieure de l’API Splunk . Les versions antérieures ne sont pas prises en charge.

      Si vous avez accès à la Splunk Enterprise Security console, vous avez accès à l’API requise pour cette intégration. Aucune autre configuration spéciale n’est requise pour l’API.

    4. Vérifiez que vous avez installé et configuré un serveur MID.

      Un Serveur MID dans votre Now Platform® instance est requis pour se connecter au Splunk service si le serveur est déployé au sein de Splunk votre réseau d’entreprise. Pour plus d’informations, reportez-vous à la section Serveur MID.

      Si vous utilisez le service Cloud, un Serveur MID élément n’est Splunk Enterprise Security pas requis.

    5. Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées.

      Le module d’extension Réponse aux incidents de sécurité Dependency (com.snc.si_dep) est requis. Ce module d’extension installe automatiquement toutes les dépendances nécessaires à la prise en charge du Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications requises par l’intégration.

      Vérifiez que les applications suivantes Opérations de sécurité sont installées et activées à partir du ServiceNow Store. Si elle n’est pas installée, installez et activez une application à la fois dans l’ordre suivant pour assurer une installation fluide.

      1. Réponse aux incidents de sécurité
      2. Cadre de travail d’intégration de
      3. la sécurité Support de sécurité commun

      Pour plus d’informations sur l’installation Opérations de sécurité des applications principales, consultez et .

    Vous avez correctement configuré votre Now Platform® instance pour l’intégration. L’étape suivante consiste à installer l’application Splunk Enterprise Security Notable Event Ingestion à partir de ServiceNow Store pour l’intégration. Pour plus d'informations, consultez Installez et configurez l’application ServiceNow pour l’intégration d’ingestion d’événements Splunk Enterprise Security notables.

    Pour plus d’informations, reportez-vous à la section Configurez votre Splunk environnement pour l’ingestion manuelle d’événements pour l’intégration de l’ingestion d’événements Splunk Enterprise Security notables Si vous souhaitez exporter manuellement et à la demande des événements notables à partir de votre Splunk Enterprise Security console pour l’intégration.