Introduction à l’intégration de la Splunk recherche pour Opérations de sécurité

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Splunk Le logiciel recherche, surveille et analyse les données volumineuses générées par les machines et s’intègre facilement à Opérations de sécurité. Avant de pouvoir utiliser l’intégration d’enrichissement Splunk des incidents, vous devez la télécharger à partir de et ServiceNow Store ajouter l’URL de base de l’API et les informations d’identification de connexion appropriées.

    Avant de commencer

    Rôle requis : sn_si_admin

    Procédure

    1. Télécharger l’intégration à partir de ServiceNow Store.
    2. Une fois l’installation terminée, accédez à Splunk la clé API et à l’ID API et procurez-les sous votre profil.
    3. Dans votre instance, accédez à Opérations de sécurité > Configuration de l'intégration.
      Les intégrations de sécurité disponibles apparaissent sous la forme d’une série de cartes.
    4. Dans la carte Splunk - Incident Enrichment, cliquez sur Nouveau.
      Splunk : configuration de l’enrichissement d’incident
    5. Renseignez les champs nécessaires.
      Champ Description
      Nom Nom de cette configuration.
      URL de Base de l'API Splunk URL de base que vous avez acquise sur le Splunk site.
      URL de lien [Facultatif] L’URL de lien qui renvoie à l’interface Web, lorsqu’elle Splunk est disponible.
      Nom d'utilisateur Votre nom d’utilisateur Splunk.
      Mot de passe Votre mot de passe Splunk.
      Lignes max. Le nombre maximal de lignes que vous souhaitez rechercher.
      Tout premier résultat (jours) Les résultats les plus récents que vous souhaitez voir, en nombre de jours.
      Inclure les exemples de données brutes dans les résultats de recherche Sélectionnez cette option pour inclure des exemples de données brutes dans vos résultats de recherche d’observations. La quantité de données renvoyées dépend de votre paramètre dans la propriété nombre de lignes de données brutes dans les propriétés de Réponse aux incidents de sécurité.
      Serveur MID Sélectionnez N’importe lequel pour utiliser n’importe quel serveur MID actif ou sélectionnez un nom de serveur MID spécifique.
      Remarque :
      La configuration de cette intégration active les workflows. Pour gérer les workflows, accédez à l’éditeur de workflow.
    6. Cliquez sur Envoyer.
      La carte de configuration d’intégration s’affiche.
    7. Lors de l’affichage de la nouvelle carte de configuration, vous pouvez cliquer sur Configurer ou Supprimer pour modifier ou supprimer la configuration, respectivement.
    8. Pour revenir à la liste d’origine des cartes de configuration d’intégration, sélectionnez Non dans la liste déroulante Afficher les configurations .