Créer et nommer un profil d’événement pour l’intégration de l’ingestion d’événements Splunk Enterprise Security
Vous créez un profil d’événement dans votre Now Platform instance et déterminez quels Splunk événements notables créent des incidents de sécurité.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
Avant Now Platform Réponse aux incidents de sécurité que (SIR) les incidents de sécurité ne soient créés à partir d’événements notables ingérés, les valeurs de champ des alertes s’affichent dans la mise en page d’un Now Platform incident de sécurité afin que vous puissiez prévisualiser la façon dont l’incident de sécurité réel sera créé.
Du point de vue de l’intégration, à l’aide des API disponibles, Splunk ES les événements notables sont transférés individuellement et manuellement en tant qu’événements notables discrets, ou ils sont automatiquement ingérés dans l’environnement Security Operations de votre Now Platform instance en fonction du type de profil défini.
Les workflows d’intégration ingèrent différents types d’événements notables, tels que les tentatives d’accès non autorisés et les programmes malveillants, par exemple. Ces événements notables sont ingérés en fonction des profils que vous configurez dans l’environnement Security Operations de votre instance.
Tous les notables sont initialement ingérés pour un type de recherche de corrélation configuré dans un profil. Les notables ingérés peuvent ensuite être filtrés davantage pour spécifier quels notables créent des incidents de sécurité. Par exemple, vous préférerez peut-être des filtres qui créent des incidents de sécurité uniquement pour les événements notables identifiés comme présentant un risque élevé. Avant qu’un profil ne soit activé, et qu’il crée des incidents de sécurité à partir d’événements notables ingérés, les valeurs de champ individuelles des événements notables sont mappées aux champs correspondants sur une mise en page de l’incident de sécurité pour un aperçu.
Procédure
Configurer un profil pour l’ingestion d’événements notables planifiés
Selon le profil défini, Splunk ES les événements notables sont automatiquement ingérés dans l’environnement Security Operations de votre Now Platform instance.
Le tableau suivant montre la liste des tâches que vous devez suivre pour configurer un profil pour l’ingestion planifiée d’événements notables :
Créer des profils pour l’ingestion d’événements notables planifiés
Vous pouvez configurer un profil pour que les événements notables soient automatiquement ingérés.
Avant de commencer
Rôle requis : sn_si.admin
Procédure
-
Renseignez les champs.
Le tableau ci-dessous fournit un exemple de formulaire rempli.
Champ Description Nom Nom unique du profil. Si les noms ne sont pas uniques, une erreur s’affiche et les noms de profil en double ne sont pas enregistrés. Les noms de profil dans votre Now Platform instance doivent être uniques.
Actif La case à cocher est décochée et désactivée par défaut. Vous devez remplir toutes les sections du profil avant de le rendre actif. Type Sélectionnez le type de profil dans la liste de choix. - Ingestion d’événements planifiés : ce type de profil prend en charge les événements notables qui sont ingérés selon un calendrier configuré. Renseignez les champs.
- Transfert manuel des événements : ce type de profil prend en charge les événements notables qui sont transférés manuellement à partir de votre Splunk Enterprise Security console d’examen des incidents sur demande. Consultez les étapes suivantes pour remplir le formulaire pour ces types de profils.
Source Splunk Fin de serveur ou de recherche que vous avez configurée pour ingérer des événements notables. Si vous avez configuré plusieurs Splunk serveurs, sélectionnez le serveur approprié pour les types d’événements notables qui seront ingérés pour le profil. Vous devez entrer une valeur. Ordre La valeur par défaut est 100. Si vous avez créé plusieurs profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent les mêmes conditions de déclenchement. Le workflow du profil avec le numéro le plus bas a la priorité la plus élevée.
(Facultatif) Description Texte supplémentaire pour vous aider à distinguer ce profil des autres profils. La figure suivante est un exemple de formulaire rempli pour un type d’événement notable planifié.
Que faire ensuite
L’étape suivante consiste à sélectionner les événements notables pour l’ingestion automatique.
Sélectionner des événements notables en fonction du nom de la règle de corrélation pour le profil pour Splunk ES l’intégration de l’ingestion d’événements
Une fois que vous avez créé un profil pour une ingestion planifiée de type événement notable, sélectionnez un Splunk Enterprise Security nom de règle de corrélation pour ce profil pour lequel vous souhaitez mapper les événements notables correspondants à un Now Platform Réponse aux incidents de sécurité incident de sécurité.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
Affichez les règles de corrélation disponibles dans votre Now Platform instance afin de connaître les types d’événements notables pour lesquels vous souhaitez ingérer et créer des incidents de sécurité. Sélectionnez une règle de corrélation. Vous pouvez sélectionner un ou plusieurs événements notables dans la liste de ce formulaire.
Procédure
-
Dans la liste Règles de corrélation, choisissez l’une des options suivantes pour sélectionner une seule règle de corrélation ou plusieurs règles de corrélation, puis déplacez-les et déplacez-les de la colonne Disponible vers la colonne Sélectionné.
La liste des règles de corrélation de ce formulaire correspond à la liste des règles de corrélation de votre Splunk ES console de révision des incidents. Jusqu’à 500 règles de corrélation sont affichées sur ce formulaire. Si plus de 500 règles de corrélation sont répertoriées dans votre Splunk ES, seuls les 500 premiers événements notables sont affichés sur ce formulaire dans votre Now Platform instance.
Option Description Dans le champ de recherche Liste de règles de corrélation, entrez du texte. La colonne sous le champ de recherche est filtrée avec les options disponibles en fonction du texte que vous saisissez. Sélectionnez une règle de corrélation et, à l’aide des touches fléchées, déplacez l’alarme sélectionnée de Disponible vers Sélectionné. Dans la liste Règle de corrélation, double-cliquez sur une règle de corrélation. La colonne Sélectionné est renseignée avec votre sélection. Dans la liste Règle de corrélation, cliquez une fois sur une règle de corrélation. La règle de corrélation est sélectionnée. À l’aide des touches fléchées, déplacez la règle de corrélation sélectionnée de Disponible vers Sélectionné.
Que faire ensuite
Vous avez sélectionné avec succès une règle de corrélation pour un profil planifié Splunk Enterprise Security . L’étape suivante consiste à mapper les valeurs d’événements notables aux champs d’un incident de sécurité.
Mapper les champs d’événements notables pour l’intégration Splunk Enterprise Security
Une fois que vous avez identifié la règle de corrélation spécifique et le type d’événement notable pour le profil, l’étape suivante consiste à mapper les champs d’événements notables individuels aux champs d’un Now Platform Réponse aux incidents de sécurité incident de sécurité (SIR).
Vue d'ensemble
Pour l’étape de mappage, vous pouvez ingérer des échantillons d’événements notables pour la règle de corrélation sélectionnée ou exporter des données d’événements notables pour les événements notables transférés manuellement. Le processus de mappage d’événements est identique quel que soit le type de profil que vous créez.
Les figures suivantes sont des exemples des configurations de mappage par défaut fournies pour chaque type de profil d’événement. Vous pouvez personnaliser les champs qui renseignent l’incident de sécurité. Au cours de cette phase de mappage, vous pouvez vous assurer que toutes les données de champ d’événement notable pertinentes sont mappées à l’emplacement approprié sur le formulaire d’incident SIR, puis visualiser l’incident SIR dans la section d’aperçu.
Si plusieurs corrélations sont utilisées, les événements notables peuvent être extraits en sélectionnant l’événement requis. Utilisez Nom de l’alerte pour choisir votre alerte si vous avez configuré plusieurs alertes pour l’ingestion.
Une fois que vous avez cliqué pour extraire des données, les noms de champs d’événements notables et les Splunk valeurs correspondantes sont renseignés sur le côté gauche du formulaire. Il s’agit des champs d’événements Splunk notables qui peuvent être mappés aux champs d’incident SIR de sécurité. Certains champs peuvent être mappés plusieurs fois aux champs d’incident de sécurité SIR.
Vous préférerez peut-être passer en revue quelques exemples d’événements notables sur votre Splunk console afin de les ingérer pour l’étape de configuration du mappage de champs. Cette étape s’intitule Mappage sur la barre de progression. Si cette page ne s’affiche pas, cliquez sur Mappage dans la barre de progression. Vous pouvez ingérer jusqu’à cinq échantillons d’événements notables pour faciliter le processus de mappage des champs d’événements Splunk Enterprise Security notables. Il existe des options permettant soit d’ingérer les cinq événements notables les plus récents pour la règle de corrélation sélectionnée, soit d’ingérer jusqu’à cinq événements notables spécifiques en fonction des ID d’événements notables.
- Ingestion d’exemples de données d’événements notables planifiés : pour les données d’échantillon utilisées pour les profils d’événements notables ingérés automatiquement, les champs d’événements notables disponibles et leurs valeurs correspondantes sont affichés dans une mise en page de mappage par défaut sur le côté gauche du formulaire de mappage une fois les données d’exemple récupérées. Des onglets s’affichent pour vous permettre d’afficher les valeurs d’un ID d’événement notable spécifique que vous avez extrait. Vérifiez que tous les champs critiques de la section d’ingestion des échantillons d’événements notables à gauche du formulaire sont mappés aux ServiceNow champs d’incident de sécurité à droite du formulaire.
- Mappage de champs : modifiez la configuration du mappage en faisant glisser les champs d’événements notables du côté gauche et en les déposant sur la section de mappage des ServiceNow incidents SIR à droite. Le mappage sur la droite associe le champ d’événement notable entrant à un champ d’incident de sécurité sortant.
- Expérience de mappage : personnalisez la grille de mappage en ajoutant ou en supprimant des champs à l’aide de l’icône + en bas de la section de mappage de champ d’incident SIR. Suivez les champs négligés ou dupliqués avec le code couleur fourni (les champs mappés sont grisés, les champs bleus ne sont pas mappés).
- Conditions de génération d’incidents : une fois la section de mappage terminée, vous pouvez définir des conditions de filtre afin de spécifier les événements notables qui doivent créer des incidents de sécurité par rapport à ceux qui doivent être filtrés, par exemple, les événements notables de faible priorité. Pour ce faire, reportez-vous à la section Conditions de génération d’incidents, située sous la section Mappage des événements notables.
- Critères d’agrégation d’événements : définissez des critères d’agrégation d’événements supplémentaires qui regroupent un événement notable entrant en un incident de sécurité existant SIR au lieu de créer des incidents similaires et potentiellement dupliqués. En utilisant des critères de valeur de correspondance de champ pour chaque profil, cette option d’agrégation supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données relatives aux événements notables de sécurité connexes sur un seul incident de sécurité.
- Formater la traduction du champ : dans certains cas, les valeurs de champ d’événement dans les événements notables de l’entreprise Splunk peuvent ne pas être traduites directement dans les champs de l’incident SIR de sécurité. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez formater des valeurs similaires, mais pas identiques. Par exemple, avec l’éditeur de script, une valeur de catégorie Alerte programme malveillant et infection par un virus peut avoir des valeurs de champ différentes pour la catégorie source, mais les deux valeurs peuvent être traduites en une activité de code malveillant commune dans le champ Catégorie de l’incident SIR de sécurité à l’aide de la fonctionnalité Formater la traduction de champ.
L’étape suivante consiste à ingérer les événements notables et à mapper les valeurs aux champs d’incident SIR de sécurité.
Créer des mappages pour Splunk ES l’examen des incidents d’événements notables et la contribution aux détails de l’événement (ingestion planifiée)
Au cours de l’étape de mappage des champs d’événements notables, vous mappez les champs d’événements individuels des événements notables sur les champs d’un Now Platform Réponse aux incidents de sécurité incident de sécurité (SIR).
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
La grille de mappage peut être personnalisée pour le type d’événement notable sélectionné dans la sélection de la règle de corrélation. Le codage couleur des champs d’événements vous aide à suivre les valeurs d’événement que vous avez déjà mappées à mesure qu’elles grisent tandis que tous les champs non mappés restants apparaissent en bleu. Cela vous aide à mieux visualiser quelles valeurs de champ ont été ajoutées à l’incident de sécurité et si d’autres informations importantes sur l’événement restent non mappées.
Mappez jusqu’à cinq événements notables de la colonne Ingestion d’échantillons d’événements notables à gauche du formulaire vers les champs d’incident de sécurité de la colonne Mappage de champs d’incidents SIR à droite.
Créez des mappages personnalisés en ajoutant ou en supprimant les champs de la grille de mappage sur le côté droit du formulaire. Les champs par défaut, généralement des champs importants à renseigner dans le formulaire de réponse aux incidents de sécurité, s’affichent. Toutefois, ces champs peuvent être supprimés et tous les champs supplémentaires peuvent être affichés à l’aide des boutons + et -. Créez des cartes personnalisées en ajoutant ou en supprimant les champs de la grille de mappage sur le côté droit du formulaire. La personnalisation des champs vous permet de mapper Splunk des champs qui ne sont pas affichés sur la grille de mappage par défaut sur l’incident SIR de sécurité.
Procédure
-
Pour un profil avec une ingestion planifiée, sous Ingestion d’exemples d’événements notables, cliquez sur Extraire des exemples de données pour extraire les derniers échantillons d’événements notables de la Splunk Enterprise console pour la règle de corrélation sélectionnée.
Remarque :Vous pouvez extraire l’échantillon d’événements notables le plus récent ou fournir les ID d’événements notables uniques pour les événements notables spécifiques que vous souhaitez utiliser pour votre expérience de mappage d’événements notables.
Les champs d’événements notables et les résultats des valeurs sont affichés sous forme d’onglets individuels. Vous pouvez ingérer jusqu’à cinq événements notables.
L’extraction d’échantillons d’événements notables peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran.
Dans la figure suivante, les paires de valeurs de nom de champ pour l’événement notable ingéré ou les échantillons d’événements importés s’affichent sur le côté gauche de ce formulaire une fois l’extraction d’ingestion terminée. Ces valeurs sont celles que vous mappez aux champs d’incident de sécurité du côté du mappage de champ d’incident SIR du formulaire.
-
Faites glisser le nom du champ, par exemple src_category, et déposez-le sur un champ de la colonne Expression d’entrée en regard d’un nom de champ dans la colonne Incident de sécurité.
La valeur du champ est affichée dans la colonne expression d’entrée. Dans l’image suivante, src_category est mappé au champ Catégorie de l’incident de sécurité. Toutefois, vous pouvez faire correspondre n’importe quelle valeur du côté gauche à un champ de droite. Vérifiez que la valeur est correctement mappée sur l’incident de sécurité pendant l’étape d’aperçu.
Pour vous assurer qu’aucun champ d’événement n’est négligé ou dupliqué dans le processus de mappage, les champs sont codés par couleur. Les champs bleu clair sur la gauche indiquent qu’un champ d’événement notable n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférerez peut-être associer un champ notable entrant à plusieurs champs sur un incident de sécurité.
Un champ gris indique qu’un champ a été sélectionné et mappé à un champ sur l’incident de sécurité. Ce code couleur vous aide à suivre le mappage.
-
Pour ajouter des champs aux champs par défaut affichés dans l’incident de sécurité à droite du formulaire, procédez comme suit.
-
Dans la colonne Incident de sécurité, développez la liste qui s’affiche et sélectionnez un champ.
Dans la liste développée pour le nouveau champ, certains champs sont grisés. Dans la figure suivante, la catégorie a un arrière-plan gris, car elle a été mappée dans l’incident de sécurité. Semblable au code couleur pour les champs d’événements notables sur le côté gauche du formulaire, ce code couleur pour les champs d’incident de sécurité sur la droite vous aide à suivre les champs d’incident SIR déjà mappés.
Remarque :Pour pouvoir afficher plusieurs observables sur le même incident de sécurité, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Élément de configuration et Notes de travail prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, lorsque vous affichez un aperçu de l’incident, un message d’erreur s’affiche indiquant qu’il n’y a aucune valeur pour le champ. De même, si un champ d’un incident de sécurité dispose d’une liste à partir de laquelle vous pouvez choisir plusieurs options et que vous essayez de mapper une option à ce champ qui n’est pas affiché dans la liste, le champ n’est pas renseigné pour l’incident de sécurité.
-
Dans la colonne Incident de sécurité, développez la liste qui s’affiche et sélectionnez un champ.
-
Poursuivez le mappage en ajoutant ou en supprimant des valeurs de champ au mappage.
La figure suivante est un exemple de mappage modifié. Dans le champ inférieur à droite, le champ Notes de travail est ajouté et il a plus d’une valeur. Notez que pour un champ de chaîne de texte long, vous pouvez développer le champ de mappage pour afficher la chaîne complète et la redimensionner au besoin en tirant le coin inférieur droit du champ comme indiqué dans la capture d’écran ci-dessous avec le champ Notes de travail ajouté :Avertissement :Veuillez noter que dans la section Mappage du champ d’incident SIR , l’URL et le numéro de port mentionnés dans le champ expression d’entrée ne sont qu’un exemple et non l’URL ou le numéro de port fournis prêts à l’emploi.
Dans l’aperçu, ces valeurs sont affichées dans les notes de travail sur l’incident de sécurité. Étant donné que la valeur correspond à un champ que vous avez ajouté à la section de mappage et que plusieurs valeurs sont mappées au champ Notes de travail, les valeurs sont affichées telles qu’elles ont été saisies. Dans cet exemple, les espaces et les signes de ponctuation que vous avez saisis dans le champ sont affichés dans la section Éléments connexes sous forme de note de travail dans l’aperçu de l’incident de sécurité.
L’image suivante est un exemple de la façon dont les valeurs de l’image précédente sont affichées sur l’incident de sécurité.
- Facultatif :
Ouvrez l’éditeur de script et poursuivez la modification.
Pour plus d’informations sur l’éditeur de script, reportez-vous à la section Utiliser l’éditeur de script pour formater les valeurs d’alerte pour l’intégration Splunk Enterprise Event Ingestion.
Inclusion d’hyperliens pour l’examen des incidents d’événements notables et les événements contribuant
En plus des champs de mappage, le sn_si.admin peut mapper une valeur de chaîne qui permet à l’analyste de sécurité travaillant sur un incident d’établir un lien hypertexte vers l’examen de l’incident d’événement notable dans la Splunk Enterprise Security console, ainsi que vers les événements contribuant sous-jacents qui font partie de la recherche détaillée.
Les valeurs de chaîne suivantes contiennent le nom du serveur et les Splunk Enterprise Security variables appropriées qui peuvent être utilisées pour créer des liens hypertexte entre ces détails :
- Hyperlien d’examen des incidents d’événements notables : https://splunkes2.secops-eng.com:8000/en-US/app/SplunkEnterpriseSecuritySuite/incident_review?earliest=${info_min_time}$&latest=now&form.srch=event_id%3D${event_id}$
où splunkes2.secops-eng.com:8000 est la source du serveur Splunk et info_min_time et event_id sont des valeurs de champs d’événements extraites des événements notables.
- Événements de contribution aux événements notables (recherche vers le bas) Lien hypertexte : https://splunkes2.secops-eng.com:8000/en-GB/app/SplunkEnterpriseSecuritySuite/search?q=${drilldown_search}$
où splunkes2.secops-eng.com:8000 est la source du serveur Splunk et drilldown_search est une valeur de champ d’événement extraite des événements notables.
L’image suivante montre l’URL d’examen des incidents d’événements notables mappée au champ de note de travail et le lien hypertexte contribuant aux événements notables (recherche approfondie) mappé vers un champ personnalisé appelé URL d’incident d’événement notable :
L’image suivante est l’aperçu de l’incident SIR avec le lien hypertexte Examen de l’incident d’événement notable et l’URL des événements contribuant :Conditions de filtrage de génération d’incidents
- Hyperlien d’examen des incidents d’événements notables : https://splunkes2.secops-eng.com:8000/en-US/app/SplunkEnterpriseSecuritySuite/incident_review?earliest=${info_min_time}$&latest=now&form.srch=event_id%3D${event_id}$
- Facultatif :
Une fois que vous avez terminé les étapes de mappage de champs précédentes, vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération d’incident pour définir des critères supplémentaires qu’un événement notable entrant doit satisfaire pour créer un SIR incident de sécurité.
Pour définir les conditions de génération d’incidents, procédez comme suit.
-
Faites défiler le formulaire jusqu’à la section Conditions de génération d’incidents et cochez la case Filtre basé sur les conditions pour activer l’option.
Le générateur de conditions de filtre s’affiche. Utilisez ces filtres pour créer des incidents de sécurité qui correspondent aux conditions spécifiques décrites par les champs.
Les options des listes du premier champ du créateur de conditions de filtre correspondent aux champs affichés dans la section Ingestion d’échantillons d’événements notables pour les événements que vous avez ingérés. Ces champs sont dynamiques et changent en fonction des Splunk événements notables que vous ingérez ou de l’événement que vous sélectionnez pour les échantillons d’événements notables transférés manuellement. Les critères que vous saisissez sont sensibles à la casse et doivent correspondre exactement aux valeurs de l’événement Splunk Enterprise Security notable. Si vous n’êtes pas sûr des valeurs à saisir dans les champs de filtre, vous préférerez peut-être revenir à votre Splunk Enterprise Security console et passer en revue vos événements notables pour les mots-clés.
- Facultatif :
Dans la deuxième ligne, définissez une deuxième condition de filtre.
L’image suivante est un exemple avec deux conditions qui doivent être satisfaites avant de créer des incidents de sécurité.
Vous avez défini les conditions de génération d’incident de sorte que les incidents de sécurité ne sont créés que lorsque les deux conditions de filtrage que vous avez saisies correspondent.
Ce type de filtrage des conditions de génération d’incidents vous aide à affiner les événements de sécurité et à limiter le nombre d’incidents de sécurité inutiles que vous créez sans modifier la recherche de corrélation sous-jacente ou les filtres dans Splunk. Si des critères de filtrage supplémentaires sont définis, seuls les événements notables qui correspondent à tous les critères sont mappés aux incidents.
Remarque :Si l’un des noms de champ d’événement comporte des caractères spéciaux tels que des guillemets (« ), des traits d’union ('), des traits de soulignement (-), at (@) ou des esperluettes (&), ces caractères peuvent être remplacés à des fins de traduction de mappage et éventuellement créer un nom d’événement en double. Le mappage peut être effectué correctement, mais un suffixe numérique est ajouté pour différencier les champs avec des noms d’événements en double. Par exemple, si le premier champ d’événement estalerts.alertet que le deuxième champ d’événement estalerts@alerts, ces champs ne peuvent pas être identifiés de manière unique car les caractères de texte standard restants sont identiques. Dans ce cas, un suffixe est ajouté au deuxième champ d’événement et le champ est renomméen alerts@alert(1).
Critères d’agrégation d’événements pour gérer des notables similaires et empêcher les incidents en double
-
Faites défiler le formulaire jusqu’à la section Conditions de génération d’incidents et cochez la case Filtre basé sur les conditions pour activer l’option.
- Facultatif :
Pour éviter de créer des incidents de sécurité en double, définissez des critères d’agrégation d’événements supplémentaires afin que les événements notables entrants soient regroupés dans un incident de sécurité ouvert.
Pour définir les critères, procédez comme suit.
-
Utilisez l’option Ajouter de nouveaux critères pour sélectionner plusieurs conditions de correspondance de champ.
Toutes les valeurs de champ que vous sélectionnez dans le champ d’entrée de sélection multiple correspondent aux critères d’agrégation à l’aide de la condition ET. Cliquez sur Ajouter de nouveaux critères pour sélectionner plusieurs conditions de correspondance de champ où l’agrégation se produit si l’une des conditions de champ multi-sélectionnées qui sont définies est remplie à l’aide de la condition OR.
Si un nouvel événement notable correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation lors de l’étape de mappage, le nouvel événement notable est automatiquement ajouté à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’utilisateur disposant du rôle sn_si.analyst et travaillant sur des incidents de sécurité, vous pouvez afficher tous les événements notables agrégés ajoutés sur une liste connexe d’un incident de sécurité. Tous les événements notables regroupés sur un incident de sécurité sont affichés dans la Splunk liste connexe Événement à tâches. Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi ces événements notables sont regroupés aux incidents de sécurité existants. Si cet onglet n’est pas affiché, faites défiler vers le côté gauche de l’enregistrement sous Liens connexes et cliquez sur le lien Afficher toutes les listes connexes .
Vous avez mappé avec succès les valeurs d’un Splunk événement notable aux champs d’un SIR incident de sécurité. En outre, vous avez configuré des conditions supplémentaires pour limiter la création d’incidents de sécurité avec des critères de filtrage de génération d’incidents. Vous avez également ajouté des événements notables aux incidents de sécurité existants SIR lorsque les valeurs de champ d’événement correspondent aux critères d’agrégation configurés. -
Utilisez l’option Ajouter de nouveaux critères pour sélectionner plusieurs conditions de correspondance de champ.
Que faire ensuite
L’étape suivante consiste à prévisualiser les valeurs que vous avez mappées sur l’incident de sécurité.
Prévisualiser l’incident de sécurité pour l’intégration de l’ingestion d’événements Splunk Enterprise Security
Une fois l’étape de mappage terminée, affichez un aperçu des valeurs que vous avez mappées dans un Now Platform® Réponse aux incidents de sécurité incident de sécurité (SIR). Cette étape d’aperçu vous permet de vérifier que vous avez mappé tous les champs notables que vous souhaitez afficher sur l’incident de sécurité.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
Prévisualisez un incident de sécurité et modifiez à nouveau le mappage selon les besoins pour corriger les champs comportant des erreurs ou pour renseigner les données manquantes. Si l’aperçu n’est pas terminé, vous ne pouvez pas passer à l’étape de planification. Les aperçus des incidents de SIR sécurité ne sont pas enregistrés en tant qu’incidents réels dans le SIR produit.
Procédure
-
Dans la liste de choix Exemples d’ID d’événements notables, sélectionnez un élément.
L’incident de sécurité s’affiche. Ne modifiez aucune information dans les champs. Cette vue est en lecture seule et un enregistrement de cet incident de sécurité n’est pas enregistré.
-
Examinez le mappage de champs des valeurs d’événements notables sur l’incident de sécurité.
L’image précédente est un exemple d’aperçu avec une erreur de mappage. Dans cet exemple, une valeur de champ de l’événement notable n’a pas de valeur acceptable pour le champ de référence sur le formulaire d’incident SIR. Un message d’erreur s’affiche et indique qu’une valeur d’entrée est introuvable pour le champ Élément de configuration dans la ServiceNow® base de données de gestion des clients (CMDB). Par conséquent, cette valeur de champ mappée n’apparaîtra pas sur le formulaire d’incident de sécurité SIR sans autre modification.
-
Prévisualisez à nouveau le mappage et continuez à corriger toutes les erreurs décrites dans les messages d’erreur.
La figure suivante est un exemple de l’onglet Détails de l’incident dans la moitié inférieure d’un SIR incident de sécurité une fois que tous les messages d’erreur ont été résolus. Pour cet exemple, les champs Description et Notes de travail ont été mappés, et ces champs sont renseignés avec les valeurs des paires de valeurs extraites des exemples d’événements Splunk Enterprise Security notables. Le premier champ Notes de travail n’a aucune valeur. Ce champ a été laissé vide dans la grille de mappage pendant l’étape de mappage. Les champs Note de travail supplémentaires qui ont des valeurs ont été ajoutés à la section de mappage.
Que faire ensuite
Si aucun message d’erreur ne s’affiche et que vous êtes satisfait du mappage de champs sur l’incident de sécurité, l’étape suivante consiste à Planifier et récupérer les alertes pour l’intégration Splunk Enterprise Event Ingestion.
Planifier et récupérer les événements notables nouveaux et mis à jour pour l’intégration de l’ingestion d’événements Splunk Enterprise Security
Pour les profils automatisés d’ingestion d’événements notables, cette étape est requise dans la configuration du profil d’événement. Au cours de cette étape, vous pouvez vérifier les paramètres par défaut pour la récupération des événements notables ou modifier la planification selon les besoins. Cette étape vous permet également de récupérer des événements historiques notables à l’aide d’une plage de dates.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
Pour les profils pour l’ingestion automatisée d’événements notables, vous choisissez si vous souhaitez ingérer des événements notables historiques pendant l’étape de planification. Vous choisissez également la fréquence à laquelle vous effectuerez une interrogation pour détecter les nouveaux événements notables futurs et les événements notables mis à jour qui correspondent à la configuration du profil d’alerte.
Pour les profils automatisés d’ingestion d’événements notables, avant d’activer le profil, vous vérifiez et modifiez la planification et la récupération des alertes. Il s’agit d’une étape obligatoire pour tout le processus de configuration de profil d’événement pour les profils d’alertes planifiées.
Configurez ces intervalles d’interrogation pour chaque profil. Les performances de l’intégration de l’ingestion Splunk d’événements peuvent être impactées par les différents intervalles d’interrogation. Lors de la planification, vous préférerez peut-être trouver un équilibre entre la réduction de la surcharge d’interrogation sur le serveur et le Splunk Enterprise Security désir d’être averti dès que possible lorsqu’un événement notable est créé ou mis à jour. Une valeur par défaut de cinq minutes est définie pour n’importe quel profil, mais vous préférerez peut-être modifier ce paramètre à une minute si nécessaire.
Extraction d’événements notables nouveaux ou mis à jour
Lorsque le calendrier d’interrogation est défini, la tâche planifiée extrait à la fois les événements notables nouveaux et mis à jour qui ont été extraits précédemment, mais qui ne répondaient pas aux critères de filtrage des incidents. Cela vous donne la possibilité de créer des incidents basés sur des critères qui peuvent ne pas être présents lors de la création d’un événement notable pour la première fois, mais qui deviennent disponibles après qu’une mise à jour se produit, par exemple, pendant la phase d’examen. Une fois qu’un incident est créé pour un événement notable spécifique, ses mises à jour ultérieures sont ignorées, car il est prévu que le notable soit maintenant traité comme un incident de sécurité actif ServiceNow® . Toutefois, tous les autres notables qui ont déjà été ingérés, mais qui n’ont pas réussi à répondre aux critères de génération d’incidents, continueront d’être extraits et vérifiés par rapport aux critères de génération d’incidents jusqu’à ce qu’ils fassent partie d’un incident actif.
Procédure
-
Choisissez-en un pour planifier comment et quand les événements notables sont extraits de la Splunk Enterprise Security console.
Option Description - Champ Ingestion d’événements en cours sélectionné
- Champ de récupération ponctuelle effacé
Événement en cours En fonction du paramètre par défaut, l’instance Now Platform extrait du Splunk Enterprise Security serveur les événements notables nouveaux et mis à jour toutes les cinq minutes. Les incidents de sécurité sont créés si des événements notables sont détectés et si les critères de filtrage de génération d’incidents correspondent. Pour équilibrer les frais généraux d’interrogation d’ingestion afin d’obtenir les données les plus récentes, cinq minutes est le paramètre par défaut. Toutefois, cette valeur peut être modifiée jusqu’à une minute si nécessaire.
- Champ Événement notable en cours effacé
- Champ de récupération ponctuelle sélectionné
Récupération ponctuelle Utilisez cette configuration si vous souhaitez une transmission par pull unique pour ingérer des événements notables historiques.
Lorsque ce paramètre est configuré, un profil est utilisé une fois pour récupérer les événements notables à partir d’événements historiques basés sur une plage de dates. À droite du champ Date de depuis, cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire des alertes. À partir de la valeur Date de début, les événements notables sont récupérés jusqu’à la date actuelle. Notez que vous pouvez remonter jusqu’à sept jours en arrière à partir de la date actuelle. Cette fonctionnalité n’est pas destinée à récupérer des quantités importantes d’événements historiques à partir Splunk Enterprise Security de raisons d’archivage, mais plutôt une quantité minimale d’événements en cours qui sont activement exploités au moment de l’activation du profil.
Une fois les événements notables extraits, ce paramètre ne récupère pas d’autres événements notables pour ce profil à partir de la date actuelle. Ce paramètre remplit l’incident de sécurité avec tous les événements notables trouvés pour la plage que vous saisissez.Par exemple, pour planifier une première heure d’intégration d’événements notables, si vous avez une vérification de sécurité quotidienne Splunk qui s’exécute une fois par jour à 4 h (heure locale), vous pouvez configurer le profil d’événement notable correspondant dans votre Now Platform instance pour qu’il s’exécute à 4 h 05, heure locale, afin de capturer immédiatement l’événement d’échec de sécurité et créer un incident de sécurité. Entrez 04 05 00 dans le champ Ingestion de l’événement initial. Dans le champ Incrémentation (minutes), saisissez 1 440 (24 heures) pour planifier la prochaine ingestion d’événement pendant 24 heures à compter de l’ingestion d’événement initiale. Les heures d’ingestion d’événements initiales et suivantes sont affichées dans les champs.
Automatiser les mises à jour et la fermeture des événements notables en fonction de l’état de l’incident SIR
Les incidents de sécurité peuvent être créés et mis à jour une fois qu’ils ont été créés avec une interface bidirectionnelle avec l’intégration Splunk Enterprise Security .
Avant de commencer
L’intégration Splunk Enterprise Security dispose d’une interface bidirectionnelle qui permet aux événements notables de créer des incidents de sécurité et de mettre à jour les événements notables après la création et/ou la fermeture de l’incident de sécurité.
Les détails pertinents de l’incident comprennent SIR le numéro d’incident, le groupe d’affectation et SIR l’URL de l’incident. Cette section est la dernière partie de la configuration du profil qui fournit des options facultatives pour mettre à jour les Splunk Enterprise Security événements notables.
Rôle requis : sn_si.admin
Procédure
-
Cliquez sur Terminer pour terminer la configuration.
Une boîte de dialogue de confirmation s’affiche. Vous avez terminé avec succès l’installation et la configuration de l’intégration. Activez ce profil pour extraire les événements notables de la Splunk Enterprise Security console en fonction de votre planification. Il existe une limite de 1 000 incidents de sécurité qui peuvent être créés dans un délai de 24 heures. Chaque alerte déclenchée spécifie jusqu’à 100 événements notables. Les événements notables suivants seront ignorés une fois les limites atteintes.L’image suivante montre l’onglet Options supplémentaires avec les valeurs par défaut renseignées :Lorsque la configuration des options supplémentaires est activée, la révision de l’incident d’événement notable affiche le changement de statut et une mise à jour des commentaires de l’historique :
Configurer un profil pour le transfert manuel d’événements
Selon le profil défini, Splunk ES les événements notables sont transférés manuellement en tant qu’événements notables discrets dans l’environnement Security Operations de votre Now Platform instance.
Pour configurer un profil pour le transfert manuel d’événements notables :
Créer des profils pour les événements transférés manuellement
Vous pouvez configurer un profil pour les événements transmis manuellement.
Avant de commencer
Rôle requis : sn_si.admin
Procédure
Pour les événements que vous transférez à la demande à partir de votre Splunk Enterprise Security console, vous pouvez baser le mappage de champs individuel sur n’importe quel profil existant. Vous pouvez également créer une nouvelle grille de mappage pour les données de pièce jointe exportées. Les événements que vous transférez manuellement ne sont pas planifiés dans le profil d’événement.
-
Dans le champ Option de mappage qui s’affiche, à partir de la liste de choix, choisissez une option de mappage pour continuer.
Consultez les figures et tableaux suivants pour en savoir plus sur les options de mappage disponibles dans la liste de choix Options de mappage.
Tableau 2. Créer une option de mappage de champs Option ou champ Description Créer une option de mappage de champs Nouveau mappage de champs pour votre événement. Si vous n’avez pas de mappage de champs existant similaire au profil que vous créez, sélectionnez cette option pour créer une nouvelle carte.
Profil par défaut Profil de transfert d’événements par défaut pour tous les Splunk événements. La valeur par défaut est effacée (désactivée).
Lorsque cette option est activée, ce profil devient le profil par défaut pour le transfert manuel d’événements. Ce profil est utilisé lorsqu’il n’y a pas de correspondance sur la source de l’événement transféré manuellement. Il devient le profil par défaut pour tous les événements dont la source est inconnue.
Le champ Source n’est pas disponible si l’option de profil par défaut est activée.
Source (champ Événement notable) Il s’agit d’un champ qui définit généralement la règle de corrélation qui a déclenché les attaques notables, par exemple par force brute. Ce champ n’est pas disponible si l’option de profil par défaut est activée.
S’il est disponible, ce champ autorise le mappage de champs d’événements uniques aux champs d’incident de sécurité en fonction de la règle de corrélation splunk qui est généralement différente pour différents types d’événements.
Si vous souhaitez gérer différentes règles de corrélation séparément, vous pouvez créer différents profils d’événements de profil basés sur la règle de corrélation pour satisfaire à cette condition.
Automatiser les mises à jour des événements notables Cochez cette case si vous souhaitez mettre à jour l’état de l’événement notable et ajouter des commentaires supplémentaires lorsqu’un incident SIR est créé à partir de l’événement notable et/ou lorsque l’incident SIR est fermé. Cela se produira à la fois pour les événements notables déclencheurs initiaux qui créent l’incident SIR, ainsi que pour les événements agrégés. Source (Splunk serveur)
Serveur Splunk que vous avez configuré comme source pour les événements notables. Si vous avez configuré plusieurs Splunk serveurs, sélectionnez le serveur approprié pour les types d’événements notables qui seront mis à jour pour le profil. Vous devez entrer une valeur.
Ordre La valeur par défaut est 100. Laissez ce paramètre tel qu’il est par défaut. Si vous avez créé un grand nombre de profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent des conditions de déclenchement. Le workflow du profil avec le numéro le plus bas a la priorité la plus élevée.
(Facultatif) Description Texte pour vous aider à distinguer ce profil des autres profils. Pour un profil avec un nouveau mappage de champ, vérifiez que vous avez saisi une valeur dans le champ Type de source et cliquez sur Continuer pour passer à l’étape de mappage de la configuration.
Pour un profil avec un mappage de champ existant, reportez-vous à la figure et au tableau suivants pour plus d’informations.Tableau 3. Sélectionner un profil existant pour l’option de mappage de champs Option ou champ Description Sélectionner un profil existant pour le mappage de champs Réutilisez un mappage de champs existant pour votre nouveau profil d’événement notable. Le champ Copier à partir du profil s’affiche. Suivez ces étapes pour copier un mappage de champs existant pour ce profil.
- À gauche du champ Copier à partir du profil qui s’affiche, cliquez sur l’icône de recherche.
- Dans la liste des profils d’événements ES qui s’affiche Splunk , cliquez sur le nom du profil contenant la carte que vous souhaitez copier.
Le nom du profil est affiché dans le champ Copier à partir du profil.
Profil par défaut Profil de transfert d’événements par défaut pour tous les Splunk événements notables avec une source sans correspondance. La valeur par défaut est effacée (désactivée).
Lorsque cette option est activée, ce profil devient le profil par défaut pour le transfert manuel d’événements.
Le champ Source n’est pas disponible si l’option de profil par défaut est activée.
Source (champ Événement notable) Il s’agit d’un champ qui définit généralement la règle de corrélation qui a déclenché les attaques notables, par exemple par force brute. Ce champ n’est pas disponible si l’option de profil par défaut est activée.
S’il est disponible, ce champ autorise le mappage de champs d’événements uniques aux champs d’incident de sécurité en fonction de la règle de corrélation splunk qui est généralement différente pour différents types d’événements.
Si vous souhaitez gérer différentes règles de corrélation séparément, vous pouvez créer différents profils d’événements de profil basés sur la règle de corrélation pour satisfaire à cette condition.
Automatiser les événements notables Cochez cette case si vous souhaitez mettre à jour l’état de l’événement notable et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’événement notable ou lorsque l’incident de sécurité est fermé. Cela se produit à la fois pour les événements notables déclencheurs initiaux qui créent l’incident de sécurité, ainsi que pour les événements agrégés. Source (Splunk serveur)
Splunk Fin de serveur ou de recherche que vous avez configurée comme source pour les événements notables. Si vous avez configuré plusieurs Splunk serveurs, sélectionnez le serveur approprié pour les types d’événements notables qui seront mis à jour pour le profil. Vous devez entrer une valeur.
Ordre La valeur par défaut est 100. Laissez ce paramètre tel qu’il est par défaut. Si vous avez créé plusieurs profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent des conditions de déclenchement. Le workflow du profil avec le numéro le plus bas a la priorité la plus élevée.
(Facultatif) Description Texte pour vous aider à distinguer ce profil des autres profils. En bas du formulaire de sélection d’un mappage existant pour votre profil, cliquez sur Terminer pour terminer la configuration du profil.
Créer des mappages pour Splunk ES l’examen des incidents d’événements notables et la contribution aux détails de l’événement (transfert manuel)
Au cours de l’étape de mappage des champs d’événements notables, vous mappez les champs d’événements individuels des événements notables sur les champs d’un Now Platform Réponse aux incidents de sécurité incident de sécurité (SIR).
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
Mappez jusqu’à cinq événements notables de la colonne Ingestion d’échantillons d’événements notables à gauche du formulaire vers les champs d’incident de sécurité de la colonne Mappage de champs d’incidents SIR à droite.
Créez des mappages personnalisés en ajoutant ou en supprimant les champs de la grille de mappage sur le côté droit du formulaire. Les champs par défaut qui sont généralement des champs importants à renseigner sur le formulaire d’incident SIR s’affichent. Toutefois, ces champs peuvent être supprimés et tous les champs supplémentaires peuvent être affichés à l’aide des boutons + et -. Créez des cartes personnalisées en ajoutant ou en supprimant les champs de la grille de mappage sur le côté droit du formulaire. La personnalisation des champs vous permet de mapper Splunk des champs qui ne sont pas affichés sur la grille de mappage par défaut sur l’incident SIR de sécurité.
Procédure
- Si le formulaire de mappage n’est pas affiché, cliquez sur Mappage dans la barre de progression.
-
Suivez ces étapes pour charger les données de pièce jointe dans votre Now Platform® instance.
-
Développez l’événement notable et, dans la colonne Champ, sélectionnez les champs que vous souhaitez importer.
Ces champs sont les paires champ-valeur qui sont exportées et affichées sur la page de mappage de votre Now Platform® instance.
-
Cliquez sur Exporter.
Le fichier XML de l’événement notable exporté Splunk doit maintenant être téléchargé vers votre Now Platform® instance. -
Dans la colonne Ingestion d’échantillons d’événements notables, cliquez sur Charger les données de la pièce jointe.
-
Développez l’événement notable et, dans la colonne Champ, sélectionnez les champs que vous souhaitez importer.
- Suivez les étapes 5 à 10 de la Créer des mappages pour Splunk ES l’examen des incidents d’événements notables et la contribution aux détails de l’événement (ingestion planifiée) section.
Configurez votre Splunk environnement pour l’ingestion manuelle d’événements pour l’intégration de l’ingestion d’événements Splunk Enterprise Security notables
Installez et configurez le module complémentaire d’ingestion d’événements Security Operations pour l’application ServiceNow dans Splunk Enterprise Security votre Splunk console d’entreprise ou votre instance Splunk Cloud si vous souhaitez exporter des événements manuellement et à la demande à partir de votre Splunk Enterprise Security console pour cette intégration.
Avant de commencer
L’installation et la configuration du module complémentaire d’ingestion d’événements Security Operations pour Splunk Enterprise Security l’application ServiceNow dans votre console d’entreprise ou votre Splunk instance Splunk Cloud sont facultatives.
Vérifiez que vous avez installé l’application pour cette intégration avant d’installer ServiceNow Store le module d’extension à partir de splunkbase requis pour l’ingestion manuelle d’événements. Si vous n’avez pas installé l’application pour l’intégration à partir de ServiceNow Store, consultez Installer et configurer l’application pour l’intégration ServiceNow de l’ingestion d’événements notables Splunk Enterprise Security et suivez les instructions pour l’installer.
Rôle requis : Splunk Enterprise Security admin
Pourquoi et quand exécuter cette tâche
Si vous souhaitez exporter des événements manuellement et à la demande à partir de votre Splunk Enterprise console pour l’intégration, téléchargez, installez et configurez le module complémentaire d’ingestion d’événements ServiceNow pour Security Operations à Splunk Enterprise Security partir de splunkbase dans votre Splunk Enterprise Security console. Ce ServiceNow module d’extension est requis pour que les incidents de sécurité puissent être créés à partir d’événements exportés manuellement dans votre Now Platform instance. Ce ServiceNow module complémentaire d’ingestion d’événements de Security Operations pour Splunk Enterprise Security l’application est disponible sur splunkbase.
Pour le transfert manuel d’événements, vous pouvez identifier jusqu’à deux points de terminaison (instances) différents Now Platform dans votre Splunk Enterprise Security console. Vous transférez manuellement les événements au ou aux points de terminaison pour créer des incidents de sécurité. Par exemple, vous pouvez spécifier à la fois une instance intermédiaire (développement) et une instance de production. En spécifiant des instances distinctes et en nommant des workflows primaires et secondaires pour chaque instance, vous pouvez choisir l’emplacement où vous souhaitez transférer différents événements.
Procédure
-
Pour configurer l’Addon, procédez comme suit.
-
Remplissez le formulaire.
La figure suivante est un exemple de formulaire rempli dans votre Splunk Enterprise Security console.
Champ de la section Spécifier l’instance principale ServiceNow Description Étiquette de l’action du workflow Nom du workflow pour votre Now Platform instance de production (principale). Ce nom est le nom d’une Now Platform instance que vos utilisateurs en charge de la surveillance des Splunk événements identifient comme instance principale, par exemple, ServiceNow Event Ingestion (Production). La valeur par défaut pour ce champ est Ingestion d’événements ServiceNow (production).
Dans votre Splunk Enterprise Security console, ce nom de workflow s’affiche pour l’instance de production (primaire) dans la liste déroulante Actions d’événement développée d’une recherche. Il s’agit du nom de votre instance de production. Vous pouvez modifier le nom.
URL URL de l’instance Now Platform que vous avez saisie dans le champ d’étiquette d’action de workflow précédent. Copiez l’URL dans votre navigateur et collez-la dans ce champ du formulaire.
Point de terminaison Chemin d’accès de l’API de base. Pour plus d’informations, reportez-vous à la figure qui suit le tableau. Si vous n’avez pas de valeur pour le point de terminaison de votre Now Platform instance de production, procédez comme suit.
- Connectez-vous à votre Now Platform instance de production en tant qu’utilisateur disposant du rôle d’administrateur système (admin).
- Entrez les API REST basées sur un script dans le panneau de navigation.
- Une fois le panneau de navigation actualisé, sélectionnez le module Scripted REST APIs qui s’affiche.
- Si l’ingestion d’événements n’est pas répertoriée dans la colonne Nom de la liste des API REST scriptées qui s’affiche, dans le champ de recherche situé en haut, entrez Ingestion d’événements.
- Dans la colonne Chemin d’accès de l’API de base de la page actualisée, copiez cette valeur et collez-la dans le champ Point de terminaison du formulaire. Voici un exemple de chemin d’accès de l’API de base : /api/sn_sec_splunk_v2/event_ingestion.
Nom d'utilisateur Nom d’utilisateur de votre Now Platform instance. Il s’agit du nom d’utilisateur de l’instance Now Platform dans laquelle vous avez affecté un utilisateur disposant du rôle (sn_sec_splunk_v2.api_account_access) pour le transfert manuel d’événements. Pour en savoir plus sur l’affectation de ce rôle, reportez-vous à Configurer votre Now Platform instance pour l’intégration Splunk Enterprise Event Ingestion.
Mot de passe Mot de passe de votre Now Platform instance. Ce mot de passe est le mot de passe de l’instance Now Platform dans laquelle vous avez affecté un utilisateur ayant le rôle (sn_sec_splunk_v2.api_account_access) pour le transfert manuel d’événements.
(Facultatif) Champs de la section Spécifier l’instance secondaire ServiceNow Description Ces champs sont facultatifs. Vous n’êtes pas tenu de spécifier une instance secondaire.
Étiquette de l’action du workflow Nom du workflow pour votre Now Platform instance secondaire (intermédiaire). Il s’agit du nom d’une Now Platform instance que les utilisateurs qui surveillent les Splunk événements identifient comme une instance secondaire, par exemple, ServiceNow l’ingestion d’événements (intermédiaire). Dans votre Splunk Enterprise Security console, ce nom de workflow s’affiche pour l’instance intermédiaire (secondaire) dans la liste déroulante Actions d’événement développée d’une recherche. Cette Now Platform instance est votre instance intermédiaire. Vous pouvez modifier le nom.
URL L’URL de l’instance Now Platform que vous avez saisie dans le champ d’étiquette de l’action de workflow précédent pour l’instance secondaire Now Platform . Copiez l’URL dans votre navigateur et collez-la dans ce champ du formulaire.
Point de terminaison Chemin d’accès de l’API de base. Cette valeur du chemin d’accès de l’API de base pour votre instance secondaire est la même que celle du chemin d’accès de l’API de base pour votre instance primaire. Consultez la figure précédente du formulaire pour plus d’informations. Nom d'utilisateur Nom d’utilisateur de votre Now Platform instance de stockage intermédiaire. L’utilisateur doit avoir le rôle (sn_sec_splunk_v2.api_account_access). Mot de passe Mot de passe de votre Now Platform instance d’étape intermédiaire. L’utilisateur doit avoir le rôle (sn_sec_splunkes.api_account_access). La figure suivante est un exemple de la liste des API REST scriptées dans votre Now Platform. La liste affiche l’emplacement de la valeur de point de terminaison d’une Now Platform instance que vous saisissez dans le formulaire dans le cadre de la configuration du module complémentaire d’ingestion d’événements ServiceNow Security Operations pour l’extension dans Splunk Enterprise Security votre Splunk Enterprise Security console. -
Remplissez le formulaire.
Que faire ensuite
Si vous n’avez pas encore enregistré les recherches dans votre Splunk Enterprise Security console, l’étape suivante consiste à enregistrer les recherches sous forme d’alertes dans votre Splunk Enterprise Security console.