Splunk Enterprise Security 注目イベントの取り込み統合用チェックリスト

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • このチェックリストを使用して、統合のすべてのタスクをガイドします。次のチェックリストには、セットアップとインストールのタスク、および統合の予想される結果を含むユースケースの例が含まれています。

    始める前に

    必要なロール:admin、sn_si.admin、sn_si.analyst、Splunk Enterprise Security アドミン

    このタスクについて

    次のテーブルを使用して、統合のセットアップ、インストール、および構成の進捗状況を追跡します。次のステップに進む前に、ステップのすべてのタスクを完了してください。テーブルの各行にタスクがリストされており、タスクの実行に必要なロールが特定されています。インストールおよび構成ガイドの番号付けされたトピックも参照されます。

    各タスクに必要なロールは次のテーブルでステップごとにリストされています。

    手順

    1. 統合のセットアップ、インストール、および構成の進捗状況を追跡します。
      次のステップに進む前に、ステップのすべてのタスクを完了してください。
    2. テーブル内のステップを記載されている順に実行します。
      表 : 1. チェックリスト
      チェックボックス

      Now Platform アドミンロールを持つユーザーとして、Now Platform インスタンスを設定します。

      • 必要に応じて、sn_si.admin ロールと sn_si.analyst ロールをユーザーにアサインします。
      • Splunk サーバーが企業ネットワーク内に展開されている場合は、MID サーバーをインストールして構成します。
      • ServiceNow セキュリティインシデントレスポンス プラグインが Now Platform のリリースに対して有効になっていることを確認します。
      • (オプション) Splunk Enterprise Security コンソールから Now Platform インスタンスに手動でイベントを転送する場合は、Splunk Enterprise Security アドミン権限を持つユーザーに (sn_sec_splunkes.api_account_access) ロールが割り当てられていることを確認します。

      詳細については、「Splunk Enterprise Security 統合での Now Platform インスタンスの設定」を参照してください。
      チェックボックス

      Now Platform アドミンロールを持つユーザーとして、ServiceNow Store から Splunk Enterprise Security アプリケーションをインストールして設定します。

      1. Now Platform インスタンスにアプリケーションがダウンロードされ、インストールされます。
      2. アプリケーションを設定し、Splunk Enterprise Security コンソールに接続します。

      詳細については、「Splunk Enterprise Security 注目イベントの取り込み統合用の ServiceNow アプリケーションのインストールと設定」を参照してください。
      チェックボックス

      (オプション) Splunk Enterprise Security コンソールから Now Platform インスタンスにイベントを手動でエクスポートする場合は、次のタスクを実行します。

      • Splunk Enterprise Security アドミニストレーターは、Splunk Enterprise Security コンソールで splunkbase から ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise Security をインストールして設定し、有効にします。
      • Splunk Enterprise Security アドミニストレーターとして、まだ設定されていない場合は、Splunk Enterprise Security コンソールに検索を注目イベントとして保存します。

      詳細については、「Splunk Enterprise Security 注目イベントの取り込み統合での手動イベント取り込み用の Splunk 環境設定」を参照してください。
      チェックボックス

      Now Platform sn_si.admin ロールを持つユーザーとして、イベントプロファイルを作成して名前を付けます。

      選択リストからプロファイルタイプを選択します。オプションは、サンプルデータを取り込むために使用するスケジュール済みアラートプロファイル、または Splunk Enterprise Security コンソールから手動で添付ファイルデータをエクスポートするために使用するイベントプロファイルです。

      • スケジュール済みアラートの場合は、利用可能なアラートを選択します。
      • 手動でエクスポートされたデータのプロファイルの場合は、新しいマップを作成するか、既存のマップをコピーします。

      詳細については、「Splunk Enterprise Security イベントの取り込み統合でのイベントプロファイルの作成と名前の設定」を参照してください。
      チェックボックス

      Now Platform sn_si.admin ロールを持つユーザーとして、取り込まれた値またはエクスポートされた添付ファイルデータを Splunk Enterprise Security から Now Platform セキュリティインシデントにマップします。

      1. スケジュール済みアラートのサンプルデータをフェッチします。
      2. (オプション) Splunk Enterprise Security から手動でイベントの 添付ファイルデータをエクスポートします。
      3. デフォルトのマッピング構成を編集します。
      4. 必要に応じて、フィルター条件を追加し、既存のセキュリティインシデントにアラートを追加し、スクリプトエディターを使用します。

      詳細については、「Splunk Enterprise Security 統合での注目イベントフィールドのマッピング」と「Splunk ES 注目イベントのインシデントレビューと貢献イベントの詳細のマッピング作成 (スケジュール済みの取り込み)」を参照してください。
      チェックボックス
      • Now Platform sn_si.admin ロールを持つユーザーとして、Now Platform セキュリティインシデントに表示される Splunk Enterprise のデータをプレビューします。
      • エラーを修正するか、不足しているデータを追加して、エラーメッセージが表示されないようにします。

      詳細については、「Splunk Enterprise Security イベントの取り込み統合のセキュリティインシデントをプレビューする」を参照してください。
      チェックボックス

      Now Platform sn_si.admin ロールを持つユーザーとして、スケジュール済みアラートを使用してプロファイルのアラート取得をスケジュールします。

      詳細については、「Splunk Enterprise Security イベントの取り込み統合での新規および更新された注目イベントのスケジュール設定と取得」を参照してください。
      これでセットアップ手順を完了し、統合に期待される結果を検証できました。