Splunk 環境のセットアップ
ServiceNow Security Operations Integration により、Splunk と ServiceNow Security Operations 間のシームレスな統合が可能になります。新しいセキュリティインシデントとセキュリティイベントが作成される ServiceNow インスタンスを設定または変更するには、アプリケーションリストのセットアップアクションを使用します。
始める前に
イベント管理プラグインをインストールしてem_eventテーブルにアクセスします。
必要なロール:sn_si.integration_user、sn_si.analyst
このタスクについて
統合のために Splunk Enterprise コンソールから手動でオンデマンドでイベントをエクスポートする場合は、Splunk Enterprise コンソールで Splunkbase から ServiceNow Security Operations Integration アドオンをダウンロード、インストール、および設定します。
この ServiceNow 拡張アドオンは、ServiceNow AI Platform インスタンスにある手動でエクスポートされたイベントからセキュリティインシデントを作成するために必要です。この ServiceNow ServiceNow Security Operations Integration アドオンは splunkbase で利用できます。
手順
-
フォームのフィールドに入力します。
フィールド 説明 URL Splunk Enterprise Security コンソールまたはSplunk Cloudインスタンスの ServiceNow インスタンスの URL。 認証タイプ API 要求に使用される認証方法。使用可能なオプションは次のとおりです。 - ベーシック認証:ユーザー名とパスワードを使用して要求を認証します。
- OAuth 2.0 認証:アクセストークンを使用して要求を認証します。
ベーシック認証 ユーザー名 ユーザーのユーザー名。 (sn_si.integration_user、sn_si.analyst) ロールを持つユーザーが、前の URL フィールドで指定された ServiceNow インスタンスに存在する必要があります。
パスワード ユーザーのパスワード。 (sn_si.integration_user、sn_si.analyst) ロールを持つユーザーが、前の URL フィールドで指定された ServiceNow インスタンスに存在する必要があります。
パスワードの確認 パスワードを再入力して確認します。 OAuth 2.0 認証 クライアント ID ServiceNow サーバーで作成されたアプリのクライアント ID。クライアント ID を取得する方法の詳細については、「ServiceNow インスタンスでのアプリケーションレジストリの設定」を参照してください。 クライアントシークレット ServiceNow サーバーで作成されたアプリのクライアントシークレット。クライアントシークレットを取得する方法の詳細については、「ServiceNow インスタンスでのアプリケーションレジストリの設定」を参照してください。 リダイレクト URL リダイレクト先の URL。 この URL をコピーして、アプリケーションレジストリレコードの [リダイレクト URL] フィールドに貼り付けます。
オプションのプロキシ プロキシ URL Splunk Enterprise Security コンソールまたは Splunk Cloud インスタンスのプロキシ URL。 ポート ポートのアドレス。 ユーザー名 Splunk Enterprise Security コンソールでプロキシアカウント用に作成したユーザー名。 パスワード Splunk Enterprise Security コンソールでプロキシアカウント用に作成したパスワード。 パスワードの確認 パスワードを再入力して確認します。 ログレベルのセットアップ ログ記録レベル 統合で生成されたレポートログのレベル (情報のタイプの名前)。値を次のオプションに更新することもできます。 - info
- error
- warn
- debug
デフォルト値は info です。
API 選択 API 選択 次のいずれかの API を選択します。 - テーブル API
- インポートセット API