Splunk Enterprise Event Ingestion 統合での Now Platform インスタンスの設定

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • 次のセクションでは、ServiceNow Store からアプリケーションをインストールする前に Now Platform® インスタンスで完了する必要があるセットアップタスクを示します。

    始める前に

    必要なロール:admin

    このタスクについて

    スムーズなインストールと構成を行うために、 アプリケーションをダウンロードしてインストールする前に、次のテーブルを参照して、リストされたすべてのタスクを完了していることを確認してください。

    手順

    1. 必要な Now Platform® および Security Incident Response (SIR) のロールがアサインされていることを確認します。

      Now Platform® インスタンスで統合をインストール、セットアップ、および使用するには、次のロールが必要です。

      • Now Platform® 管理者 (admin) ロールを持つユーザーが ServiceNow Store からアプリケーションをインストールし、セキュリティインシデント管理者 (sn_si.admin) ロールをアサインします。
      • この統合のために Splunk Enterprise から手動でイベントを転送する場合は、Now Platform® admin ロールを持つユーザーが Now Platform® で (sn_sec_splunk_v2.api_account_access) ロールを持つユーザーをアサインします。このロールは、Splunk Enterprise 管理者ロールを持つユーザーが、この統合の手動イベント転送に必要な Now Platform® の API にアクセスすることを許可します。

        Splunk Enterprise から Now Platform® インスタンスに自動的にアラートを取り込む場合、統合に (sn_sec_splunk_v2.api_account_access) ロールは必要ありません。

      • sn_si.admin ロールを持つユーザーは、Now Platform® で次のタスクを監督します。
        • アラートとイベントプロファイルに名前を付け、作成し、編集します。
        • アラートとイベントから値を選択し、Now Platform® セキュリティインシデントにマップします。
        • 構成を確定する前に、正確性を確認するためにセキュリティインシデントの詳細をプレビューします。
        • 進行中のアラートの取り込みをスケジュールします。
        • セキュリティインシデントアナリスト (sn_si.analyst) ロールをアサインします。
        • sn_si.analyst を持つユーザーは、セキュリティインシデントを処理します。

      ロールとユーザーへのロールの割り当ての詳細については、「」を参照してください Managing roles

    2. Splunk API のバージョン 6.0 以降をを使用していることを確認します。

      Splunk Enterprise コンソールへのアクセス権がある場合は、この統合に必要な API にアクセスできます。API に必要なその他の特別なセットアップはありません。

    3. MID Server がインストールおよび設定されていることを確認します。

      Splunk サーバーが企業ネットワーク内に展開されている場合、Now Platform® インスタンスの MID Server を Splunk サービスに接続する必要があります。MID Server の詳細については、「MID Server」を参照してください。

      Splunk Cloud サービスを使用している場合、MID Server は必要ありません。

    4. 統合をサポートするために必要な ServiceNow コアアプリケーションがインストールされ、アクティブ化されていることを確認します。

      セキュリティインシデントレスポンス Dependency プラグイン (com.snc.si_dep) が必要です。このプラグインは、セキュリティインシデントレスポンス 製品をサポートするために必要なすべての依存関係を自動的にインストールします。統合に必要な他の Security Operations アプリケーションをインストールしてアクティブ化する前に、このプラグインをインストールしてアクティブ化します。

      次の Security Operations アプリケーションが、ServiceNow Store からインストールされ、アクティブ化されていることを確認します。インストールされていない場合は、スムーズにインストールできるように、次の順序で一度に 1 つずつアプリケーションをインストールしてアクティブ化します。

      1. Security Incident Response
      2. Security Integration Framework
      3. Security Support Common
      4. Security Support Orchestration

      Security Operations コアアプリケーションのインストールの詳細については、「Security Operations 製品またはアプリケーションのエンタイトルメントの取得」および「ServiceNow Store アプリケーションのアクティブ化」を参照してください。

    次のタスク

    統合のために Now Platform® インスタンスが正常に設定されました。次のステップでは、統合のために ServiceNow Store から Splunk Enterprise Event Ingestion アプリケーションをインストールします。詳細については、「Splunk Enterprise Event Ingestion 統合用の ServiceNow アプリケーションのインストールと設定」を参照してください。

    取り込み用に Splunk Enterprise コンソールに検索を保存していない場合、または Splunk Enterprise コンソールと Now Platform® インスタンスの Security Operations 製品でこの統合の初期設定を同時に実行している場合は、詳細について「Splunk Enterprise Event Ingestion 統合での Splunk Enterprise コンソールへの検索の保存」を参照してください。

    統合のために Splunk Enterprise コンソールから手動でオンデマンドでイベントをエクスポートする場合、詳細については「Splunk Enterprise イベントの取り込み統合での手動イベント取り込み用の Splunk 環境設定」を参照してください。