Splunk Enterprise Security注目イベントの取り込み統合のチェックリスト

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:6分

    • このチェックリストを使用して、統合のすべてのタスクをガイドします。次のチェックリストには、セットアップとインストールのタスク、および統合の予想される結果を含むユースケースの例が含まれています。

    始める前に

    必要なロール:sn_si.ingestion_profile_admin、admin、sn_si.admin、sn_si.analyst、 Splunk Enterprise Security アドミニストレーター

    注:
    sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが使用できるすべての操作を実行できます。

    このタスクについて

    次のテーブルを使用して、統合のセットアップ、インストール、および構成の進捗状況を追跡します。次のステップに進む前に、ステップのすべてのタスクを完了してください。テーブルの各行にタスクがリストされており、タスクの実行に必要なロールが特定されています。インストールおよび構成ガイドの番号付けされたトピックも参照されます。

    各タスクに必要なロールは次のテーブルでステップごとにリストされています。

    手順

    1. 統合のセットアップ、インストール、および構成の進捗状況を追跡します。
      次のステップに進む前に、ステップのすべてのタスクを完了してください。
    2. テーブル内のステップを記載されている順に実行します。
      表 : 1. チェックリスト
      チェックボックス

      ServiceNow AI Platform アドミンロールを持つユーザーとして、ServiceNow AI Platform インスタンスを設定します。

      • 必要に応じて、 ユーザーに sn_si.ingestion_profile_admin (または sn_si.admin) および sn_si.analyst ロールをアサインします。
      • Splunk サーバーが企業ネットワーク内に展開されている場合は、MID サーバーをインストールして構成します。
      • ServiceNow セキュリティインシデントレスポンス プラグインが ServiceNow AI Platform のリリースに対して有効になっていることを確認します。
      • (オプション) Splunk Enterprise Security コンソールから ServiceNow AI Platform インスタンスに手動でイベントを転送する場合は、Splunk Enterprise Security アドミン権限を持つユーザーに (sn_sec_splunkes.api_account_access) ロールが割り当てられていることを確認します。

      詳細については、「Splunk Enterprise Security 統合での ServiceNow AI Platform インスタンスの設定」を参照してください。
      チェックボックス

      ServiceNow AI Platform アドミンロールを持つユーザーとして、ServiceNow Store から Splunk Enterprise Security アプリケーションをインストールして設定します。

      1. ServiceNow AI Platform インスタンスにアプリケーションがダウンロードされ、インストールされます。
      2. アプリケーションを設定し、Splunk Enterprise Security コンソールに接続します。

      詳細については、「注目イベントの取り込み統合 Splunk Enterprise Security インストールして構成します」を参照してください。
      チェックボックス

      (オプション) Splunk Enterprise Security コンソールから ServiceNow AI Platform インスタンスにイベントを手動でエクスポートする場合は、次のタスクを実行します。

      • Splunk Enterprise Security アドミニストレーターは、Splunk Enterprise Security コンソールで splunkbase から ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise Security をインストールして設定し、有効にします。
      • Splunk Enterprise Security アドミニストレーターとして、まだ設定されていない場合は、Splunk Enterprise Security コンソールに検索を注目イベントとして保存します。
      チェックボックス

      ServiceNow AI Platform sn_si.ingestion_profile_admin ロールを持つユーザーとして、イベントプロファイルを作成して名前を付けます。

      選択リストからプロファイルタイプを選択します。オプションは、サンプルデータを取り込むために使用するスケジュール済みアラートプロファイル、または Splunk Enterprise Security コンソールから手動で添付ファイルデータをエクスポートするために使用するイベントプロファイルです。

      • スケジュール済みアラートの場合は、利用可能なアラートを選択します。
      • 手動でエクスポートされたデータのプロファイルの場合は、新しいマップを作成するか、既存のマップをコピーします。

      詳細については、「Splunk Enterprise Security イベントの取り込み統合でのイベントプロファイルの作成と名前の設定」を参照してください。
      チェックボックス

      ServiceNow AI Platform sn_si.ingestion_profile_admin ロールを持つユーザーとして、Splunk Enterprise Security からエクスポートされた値またはエクスポートされた添付ファイルデータをServiceNow AI Platformセキュリティインシデントにマッピングします。

      1. スケジュール済みアラートのサンプルデータをフェッチします。
      2. (オプション) Splunk Enterprise Security から手動でイベントの 添付ファイルデータをエクスポートします。
      3. デフォルトのマッピング構成を編集します。
      4. 必要に応じて、フィルター条件を追加し、既存のセキュリティインシデントにアラートを追加し、スクリプトエディターを使用します。

      詳細については、「マッピングの詳細」と「注目イベントのマッピング」を参照してください。
      チェックボックス
      • ServiceNow AI Platform sn_si.ingestion_profile_admin ロールを持つユーザーとして、ServiceNow AI Platformセキュリティインシデントに表示されるSplunk Enterpriseからデータをプレビューします。
      • エラーを修正するか、不足しているデータを追加して、エラーメッセージが表示されないようにします。

      詳細については、「セキュリティインシデントをプレビュー」を参照してください。
      チェックボックス

      ServiceNow AI Platform sn_si.ingestion_profile_admin ロールを持つユーザーとして、スケジュール済みアラートがあるプロファイルのアラート取得をスケジュールします。

      詳細については、「注目イベントのスケジュール設定と取得」を参照してください。
      これでセットアップ手順を完了し、統合に期待される結果を検証できました。