Splunk Enterprise Security 統合での ServiceNow AI Platform インスタンスの設定

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:5分

    • 次のセクションでは、ServiceNow Store からアプリケーションをインストールする前に ServiceNow AI Platform® インスタンスで完了する必要があるセットアップタスクを示します。

    必要なロール:sn_si.ingestion_profile_admin

    注:
    sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが使用できるすべての操作を実行できます。

    スムーズなインストールと構成を行うために、 アプリケーションをダウンロードしてインストールする前に、次のテーブルを参照して、リストされたすべてのタスクを完了していることを確認してください。

    1. 必要な ServiceNow AI Platform® および セキュリティインシデントレスポンス (SIR) のロールがアサインされていることを確認します。

      ServiceNow AI Platform® インスタンスで統合をインストール、セットアップ、および使用するには、次のロールが必要です。

      • ServiceNow AI Platform® アドミンロール (admin) を持つユーザーが ServiceNow Store からアプリケーションをインストールし、セキュリティインシデントアドミン (sn_si.admin) ロールをアサインします。
      • この統合のために Splunk Enterprise Security から手動で注目イベントを転送する場合は、ServiceNow AI Platform® admin ロールを持つユーザーが ServiceNow AI Platform®で (sn_sec_splunkes.api_account_access) ロールを持つユーザーをアサインします。このロールは、Splunk Enterprise Security アドミンロールを持つユーザーが、この統合の手動イベント転送に必要な ServiceNow AI Platform® の API にアクセスすることを許可します。

        Splunk Enterprise Security から ServiceNow AI Platform® インスタンスに自動的に注目イベントを取り込む場合、統合に (sn_sec_splunkes.api_account_access) ロールは必要ありません。

      • sn_si.ingestion_profile_admin ロールを持つユーザーは、ServiceNow AI Platform®の次のタスクを監督します
        • 。 イベントプロファイルに名前を付け、作成し、編集します。
        • Splunk Enterprise Security から値を選択し ServiceNow AI Platform® セキュリティインシデントにマップします。
        • 構成を確定する前に、正確性を確認するためにセキュリティインシデントの詳細をプレビューします。
        • 進行中の注目イベントの取り込みをスケジュールします。
        • SIR インシデントが作成されてクローズされたときに、注目イベントの更新を有効にします。
        • セキュリティインシデントアナリスト (sn_si.analyst) ロールをアサインします。
        • sn_si.analyst を持つユーザーは、セキュリティインシデントを処理します。

      詳細については、「Managing roles」を参照してください。

    2. Splunk ユーザーロールをアサインします。

      Splunk ES でセキュリティアナリスト (ess_analyst) ユーザーロールをアサインして、Splunk サーバーで統合関連のすべてのアクティビティを実行します。

    3. Splunk API のバージョン 7.2.6 以降を使用していることを確認します。以前のバージョンはサポートされていません。

      Splunk Enterprise Security コンソールへのアクセス権がある場合は、この統合に必要な API にアクセスできます。API に必要なその他の特別なセットアップはありません。

    4. MID サーバーがインストールおよび設定されていることを確認します。

      Splunk サーバーが企業ネットワーク内に展開されている場合、ServiceNow AI Platform® インスタンスの MID サーバーSplunk サービスに接続する必要があります。詳細については、「MID サーバー」を参照してください。

      Splunk Enterprise Security クラウドサービスを使用している場合、MID サーバー は必要ありません。

    5. 統合をサポートするために必要な ServiceNow コアアプリケーションがインストールされ、アクティブ化されていることを確認します。

      セキュリティインシデントレスポンス Dependency プラグイン (com.snc.si_dep) が必要です。このプラグインは、セキュリティインシデントレスポンス 製品をサポートするために必要なすべての依存関係を自動的にインストールします。統合に必要な他の セキュリティオペレーション アプリケーションをインストールしてアクティブ化する前に、このプラグインをインストールしてアクティブ化します。

      次の セキュリティオペレーション アプリケーションが、ServiceNow Store からインストールされ、アクティブ化されていることを確認します。インストールされていない場合は、スムーズにインストールできるように、次の順序で一度に 1 つずつアプリケーションをインストールしてアクティブ化します。

      1. セキュリティインシデントレスポンス
      2. Security Integration Framework
      3. Security Support Common

      セキュリティオペレーション コアアプリケーションのインストールの詳細については、「セキュリティオペレーション 製品またはアプリケーションのエンタイトルメントの取得」および「ServiceNow Store アプリケーションのアクティブ化」を参照してください。

    統合のために ServiceNow AI Platform® インスタンスが正常に設定されました。次のステップでは、ServiceNow Store から統合用の Splunk Enterprise Security 注目イベントの取り込みアプリケーションをインストールします。詳細については、「注目イベントの取り込み統合 Splunk Enterprise Security インストールして構成します」を参照してください。