Splunk Enterprise Security イベントの取り込み統合でのイベントプロファイルの作成と名前の設定

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:2分

    • ServiceNow AI Platform インスタンスにイベントプロファイルを作成し、セキュリティインシデントを作成する Splunk 注目イベントを指定します。

    始める前に

    必要なロール:sn_si.ingestion_profile_admin

    注:
    sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが使用できるすべての操作を実行できます。

    このタスクについて

    ServiceNow AI Platform セキュリティインシデントレスポンス(SIR) セキュリティインシデントが取り込まれた注目イベントから作成される前に、アラートのフィールド値が ServiceNow AI Platform セキュリティインシデントのレイアウトに表示されるため、実際のセキュリティインシデントがどのように作成されるかをプレビューできます。

    利用可能な API を使用した統合の観点から、Splunk ES 注目イベントは、個別の注目イベントとして個別に手動で転送されるか、定義されたプロファイルタイプに応じて、ServiceNow AI Platform インスタンスの セキュリティオペレーション 環境に自動的に取り込まれます。

    統合ワークフローでは、不正なアクセス試行やマルウェアなどのさまざまなタイプの注目イベントを取り込めます。これらの注目イベントは、インスタンスの セキュリティオペレーション 環境で設定したプロファイルに基づいて取り込まれます。

    すべての注目は、プロファイル内の設定された相関検索タイプに対して最初に取り込まれます。取り込まれた注目をさらにフィルタリングして、セキュリティインシデントを作成する注目イベントを指定できます。たとえば、高リスクとして識別された注目イベントに対してのみセキュリティインシデントを作成するフィルターを使用できます。プロファイルがアクティブになり、取り込まれた注目イベントからセキュリティインシデントが作成される前に、注目イベントの個々のフィールド値が、プレビュー用にセキュリティインシデントのレイアウトの対応するフィールドにマッピングされます。

    手順

    1. ServiceNow AI Platform インスタンス内のイベントプロファイルの名前は一意である必要があり、常に 1 つのアクティブなイベントプロファイルにのみマッピングできます。
    2. ServiceNow AI Platform は、統合のワークフローを使用して特定の注目を取り込みます。
      Splunk ES コンソールの選択基準を満たすすべての注目イベントが、最初に ServiceNow AI Platform インスタンスに取り込まれます。
    3. ServiceNow AI Platform のプロファイルは、Splunk ES コンソールの注目イベントをカプセル化したものです。
      プロファイルとともに取り込まれた注目イベントと Splunk ES コンソールへの接続は 1 対 1 の関係 (1 つの接続に対して 1 つの注目イベントタイプ) です。
    4. スケジュール済み注目イベントのプロファイルを作成するには、「スケジュール済み注目イベントの取り込み用プロファイルの設定」を参照してください。
    5. 手動イベント転送用のプロファイルを作成するには、「手動イベント転送用のプロファイルの設定」を参照してください。