Configurer votre Now Platform instance pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • La section suivante répertorie les tâches de configuration que vous devez effectuer dans votre Now Platform® instance avant d’installer l’application à partir du ServiceNow Store.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Reportez-vous au tableau suivant et vérifiez que vous avez effectué toutes les tâches répertoriées avant de télécharger et d’installer l’application pour garantir une installation et une configuration fluides.

    Procédure

    1. Vérifiez que vous avez affecté les rôles requis Now Platform® et Security Incident Response (SIR).

      Les rôles suivants sont requis pour l’installation, la configuration et l’utilisation de l’intégration dans votre Now Platform® instance.

      • Un utilisateur doté du Now Platform® rôle administrateur (admin) installe l’application à partir de et ServiceNow Store affecte le rôle d’administrateur d’incident de sécurité (sn_si.admin).
      • Si vous souhaitez transférer manuellement des événements à partir de Splunk Enterprise pour cette intégration, un utilisateur doté du Now Platform® rôle administrateur affecte un utilisateur ayant le rôle (sn_sec_splunk_v2.api_account_access) dans le Now Platform®. Ce rôle permet à un utilisateur doté du Splunk Enterprise rôle administrateur d’accéder à l’API dans le qui est requis pour le Now Platform® transfert manuel d’événements pour cette intégration.

        Le rôle (sn_sec_splunk_v2.api_account_access) n’est pas requis pour l’intégration si vous ingérez automatiquement des alertes depuis Splunk Enterprise votre Now Platform® instance.

      • Un utilisateur disposant du rôle sn_si.admin supervise les tâches suivantes dans :Now Platform®
        • Nomme, crée et modifie les profils d’alerte et d’événement.
        • Sélectionne et mappe les valeurs des alertes, des événements et des incidents de Now Platform® sécurité.
        • Affiche un aperçu de l’exactitude des détails de l’incident de sécurité avant de finaliser la configuration.
        • Planifie l’ingestion d’alerte en cours.
        • Affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst).
        • Les utilisateurs disposant du sn_si.analyst travaillent avec des incidents de sécurité.

      Pour en savoir plus sur les rôles et l’affectation des rôles aux utilisateurs, reportez-vous à Managing roles.

    2. Vérifiez que vous utilisez la version 6.0 ou ultérieure de l’API Splunk .

      Si vous avez accès à la Splunk Enterprise console, vous avez accès à l’API requise pour cette intégration. Aucune autre configuration spéciale n’est requise pour l’API.

    3. Vérifiez que vous avez installé et configuré un MID Server.

      Un MID Server dans votre Now Platform® instance est requis pour se connecter au Splunk service si le Splunk serveur est déployé au sein de votre réseau d’entreprise. Pour plus d’informations sur les MID Servers, consultez Serveur MID

      Si vous utilisez le Splunk Cloud service, un MID Server n’est pas nécessaire.

    4. Vérifiez que les ServiceNow applications de base requises pour prendre en charge l’intégration sont installées et activées.

      Le module d’extension Réponse aux incidents de sécurité Dependency (com.snc.si_dep) est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Security Operations applications requises par l’intégration.

      Vérifiez que les applications suivantes Security Operations sont installées et activées à partir du ServiceNow Store. Si ce n’est pas le cas, installez et activez une application à la fois dans l’ordre suivant pour garantir une installation sans problème.

      1. Réponse aux incidents de sécurité
      2. Cadre de travail des intégrations de sécurité
      3. Security Support Common
      4. Orchestration du support de sécurité

      Pour plus d’informations sur l’installation des Security Operations applications principales, reportez-vous aux sections Obtenir une autorisation pour un produit ou une Security Operations application et Activer une ServiceNow Store application.

    Que faire ensuite

    Vous avez correctement configuré votre Now Platform® instance pour l’intégration. L’étape suivante consiste à installer l’application Splunk Enterprise Event Ingestion à partir du ServiceNow Store pour l’intégration. Pour plus d'informations, consultez Installer et configurer l’application ServiceNow pour l’intégration Splunk Enterprise Event Ingestion.

    Si vous n’avez pas enregistré les recherches pour l’ingestion dans votre Splunk Enterprise console, ou si vous effectuez simultanément la configuration initiale de cette intégration dans votre Splunk Enterprise console et dans le Security Operations produit de votre Now Platform® instance, consultez Enregistrer les recherches d’intégration Splunk Enterprise Event Ingestion dans votre Splunk Enterprise console pour en savoir plus.

    Si vous souhaitez exporter des événements manuellement et à la demande à partir de votre Splunk Enterprise console pour l’intégration, consultez Configurer votre Splunk environnement pour l’ingestion manuelle d’événements pour l’intégration de l’ingestion d’événements Splunk Enterprise pour en savoir plus.