Installer et configurer l’application pour l’intégration ServiceNow de l’ingestion d’événements notables Splunk Enterprise Security

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Avant d’exécuter l’intégration sur votre Now Platform® instance, effectuez ces étapes d’installation et de configuration afin que l’application s’intègre correctement aux Réponse aux incidents de sécurité produits et Security Operations de votre Now Platform® instance.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Si vous n’avez pas installé l’application d’ingestion d’événements Splunk Enterprise Security à partir de pour ServiceNow Store l’intégration, consultez Installer une Security Operations intégration et suivez les étapes pour l’installer.
    2. Une fois l’application correctement installée, accédez à Intégrations > Configurations des intégrations et localisez la mosaïque Ingestions d’événements Splunk .
    3. Pour configurer l’application, cliquez sur Nouveau.

      Vignette Ingestions SplunkEvent
    4. Si un bouton Configurer s’affiche sur une mosaïque, vous pouvez également cliquer dessus pour modifier une configuration existante.
    5. Renseignez les champs de la boîte de dialogue Configuration des ingestions d’événements qui s’affiche.
      ChampDescription
      Nom Nom de la console ou Splunk Cloud de l’instance Splunk Enterprise Security utilisée pour l’intégration.

      Les espaces sont pris en charge pour les noms, mais pas les parenthèses. Par exemple, saisissez SplunkES2.
      URL de Base de l'API Splunk URL de votre console ou Splunk Cloud de votre Splunk Enterprise Security instance. L’URL doit inclure le port d’API, par exemple : https://mysplunkserver.com:8089
      Authentification de base Cette option est désactivée par défaut.

      Si vous utilisez le nom d’utilisateur du compte API et le mot de passe API pour la configuration, cochez la case.
      Nom d’utilisateur du compte API Nom d’utilisateur que vous avez créé pour votre compte d’utilisateur API sur la Splunk Enterprise Security console.
      Mot de passe API Mot de passe que vous avez créé pour votre compte d’utilisateur API sur la Splunk Enterprise Security console.
      Basé sur un jeton (disponible à partir de la version 12.0.0) Jeton que vous avez créé pour votre compte d’utilisateur API sur la console Splunk Enterprise Security.
      Jeton Jeton que vous avez créé pour votre compte d’utilisateur API sur la Splunk console Enterprise Security.
      Déploiement sur site Cette option est désactivée par défaut.

      Si vous utilisez une version sur site de Splunk Enterprise Security, vérifiez que cette case est cochée.
      Serveur MID Option permettant de choisir un MID Server particulier à configurer dans votre environnement, qui sera utilisé par cette intégration pour extraire les événements notables dans ServiceNow.
      Vous pouvez sélectionner un MID Server spécifique dans la liste ou sélectionner N’importe lequel pour activer la sélection automatique d’un MID Server valide dans la liste pour cette intégration.
      Remarque :
      • Le MID Server sélectionné pendant cette période de configuration s’applique à l’ensemble de cette intégration.
      • Seuls les MID Servers actifs et validés sont affichés dans cette liste. Par défaut, la valeur est définie sur N’importe lequel.

      Par exemple, il existe trois MID Servers A, B et C. Si vous sélectionnez N’importe lequel, l’un de ces MID Servers est sélectionné automatiquement et s’applique à l’ensemble de cette intégration. Si vous sélectionnez un MID Server spécifique, disons C, le MID Server C sélectionné s’applique à l’ensemble de cette intégration.

      Si vous souhaitez modifier le MID Server, vous devez le reconfigurer à partir de la vignette Configuration d’application.
      La figure suivante est un exemple de formulaire rempli pour une configuration d’une version locale de Splunk Enterprise Security avec un MID Server.
      Ingestion d’événements Splunk

      Chaque Splunk Enterprise Security type d’événement notable que vous ingérez à partir de votre Splunk Enterprise Security console d’examen des incidents nécessite un profil d’événement unique dans votre Now Platform® instance. Toutefois, la source que vous configurez sur le formulaire Configuration des ingestions d’événements peut être réutilisée pour plusieurs Now Platform® profils, à condition que chaque profil ingère des types d’événements notables uniques.

    6. Cliquez sur Envoyer.
      Une fois la validation terminée, la page Intégrations de sécurité s’affiche avec chacune de vos configurations. Sur chaque vignette de configuration valide, les boutons Mettre à jour et Supprimer s’affichent comme illustré dans la figure suivante.
      Remarque :
      Les utilisateurs doivent utiliser soit l’authentification de base, soit l’authentification basée sur un jeton. L’activation des deux génère l’erreur suivante.
      Configuration de l’ingestion d’événements Splunk
      Remarque :
      Si les utilisateurs préfèrent mettre à jour les vignettes de configuration existantes sur une base de jeton, ils doivent activer ce paramètre pour mettre à jour les configurations sources existantes Splunk pour le paramètre de prise en charge de l’authentification basée sur le jeton dans Splunk le module Paramètres Entreprise.

      Bouton Mettre à jour / Supprimer

      Une fois validée et soumise avec succès, chaque configuration du serveur d’ingestions d’événements Splunk est enregistrée sur la page Intégrations de sécurité sous forme de mosaïque. Si vos vignettes de configuration enregistrées ne s’affichent pas sur la page Intégrations de sécurité, dans le coin supérieur droit de la page, dans la liste Afficher les configurations, sélectionnez Oui.

    Que faire ensuite

    Vous avez correctement installé et configuré l’application. L’étape suivante consiste à créer un profil d’événement.