Enregistrer les recherches de l’intégration dans votre Splunk EnterpriseSplunk Enterprise Event Ingestion console

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Les étapes suivantes d’enregistrement des recherches dans votre Splunk Enterprise console sont fournies pour un utilisateur disposant du rôle administrateur Splunk Enterprise .

    Avant de commencer

    Si vous avez déjà des recherches enregistrées et des alertes déclenchées dans votre Splunk Enterprise console, vous n’êtes pas obligé de modifier ces recherches pour cette intégration.

    L’intégration du produit au service de notification d’événement Splunk extrait les informations sur les Now Platform® Opérations de sécurité événements et les alertes de Splunk.

    Avant d’ingérer des alertes dans votre Opérations de sécurité environnement, configurez les recherches dans votre Splunk Enterprise console afin d’extraire automatiquement les événements de sécurité pertinents que Splunk Enterprise vous souhaitez enregistrer en tant qu’alertes.

    Si vous n’avez pas enregistré vos recherches et déclenché des alertes établies pour vous avertir lorsque des événements de sécurité importants se produisent dans votre Splunk Enterprise console, procédez comme suit pour enregistrer les recherches.

    Rôle requis : Splunk Enterprise administrateur

    Procédure

    1. Connectez-vous à votre compte Splunk Enterprise.
    2. Cliquez sur l’onglet Rechercher .
    3. Dans le champ Nouvelle recherche qui s’affiche, saisissez une valeur pour l’alerte, par exemple Programme malveillant.
    4. Pour afficher les événements associés à votre recherche, à droite du champ Nouvelle recherche, cliquez sur l’icône de recherche ou appuyez sur Entrée.
      Les résultats de la recherche avec les événements s’affichent.
    5. Pour enregistrer la recherche en tant qu’alerte, dans le coin supérieur droit de la page, développez la liste de choix Enregistrer sous et sélectionnez Alerte.
    6. Dans le formulaire qui s’affiche, renseignez les champs.
      ChampDescription
      Titre Nom descriptif de l’alerte, par exemple, Événements de programme malveillant. Une fois que vous avez enregistré cette recherche en tant qu’alerte, les événements d’une alerte déclenchée dans le service sont automatiquement traités en alertes déclenchées à l’aide Splunk de ces données de recherche. Ce titre d’alerte déclenchée est utilisé dans le profil d’événement que vous créez dans votre Now Platform instance pour identifier les événements qui sont ingérés dans votre instance pour Now Platform® Réponse aux incidents de sécurité SIR la création d’un incident de sécurité.
      (Facultatif) Description Texte pour vous aider à distinguer cette alerte des autres alertes.
      Type d'alerte Dans les champs qui s’affichent, sélectionnez Planifié pour rechercher cette alerte dans une planification ou Temps réel pour rechercher cette alerte en continu.
      Résultats du déclencheur Vous préférez peut-être définir l’une des conditions de filtre suivantes :
      • Le nombre de résultats est supérieur ou inférieur à
      • Unique (une fois) pour chaque résultat
      Actions de déclencheurs Ajoutez des actions pour déclencher cette alerte. Développez la liste Ajouter un choix et cliquez sur Ajouter aux alertes déclenchées pour qu’elle s’affiche sur le formulaire. Vous préférerez peut-être ce paramètre pour les alertes que vous ingérez dans votre Now Platform instance.
    7. Cliquez sur Enregistrer.
      Votre alerte est enregistrée et s’affiche sous l’onglet Alertes de la page de recherche.
      Le Splunk service extrait les événements en faisant correspondre les critères que vous avez configurés dans l’alerte. Il met en cache les événements, puis vous demandez ces événements à partir des profils que vous avez configurés dans votre Now Platform instance. Étant donné que l’ingestion-pull d’événements se produit à partir d’un cache dans le service, cette ingestion à partir de votre Now Platform n’a pas d’impact sur les Splunk performances de votre Splunk plateforme.

    Que faire ensuite

    Vous avez terminé avec succès la configuration requise pour l’intégration dans votre Splunk Enterprise console. Si vous n’avez pas encore installé l’application pour l’intégration à partir de , ServiceNow Storel’étape suivante consiste à installer l’application pour l’intégration et à la configurer.