Configurer votre Splunk environnement pour l’ingestion manuelle d’événements pour l’intégration de l’ingestion d’événements Splunk Enterprise

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 6 minutes de lecture

    • Si vous souhaitez exporter des événements manuellement et à la demande à partir de votre Splunk Enterprise console pour cette intégration, installez et configurez le module complémentaire d’ingestion d’événements Security Operations pour l’application ServiceNow dans Splunk Enterprise votre console d’entreprise ou votre Splunk instance Splunk Cloud.

    Avant de commencer

    Vérifiez que vous avez installé l’application pour cette intégration avant d’installer ServiceNow Store le module d’extension à partir de splunkbase requis pour l’ingestion manuelle d’événements. Si vous n’avez pas installé l’application pour l’intégration à partir de ServiceNow Store, consultez Installer et configurer l’application ServiceNow pour l’intégration Splunk Enterprise Event Ingestion et suivez les instructions pour l’installer.

    Rôle requis : Now Platform administrateur (admin)

    Pourquoi et quand exécuter cette tâche

    L’installation et la configuration du module complémentaire d’ingestion d’événements ServiceNow Security Operations sont facultatives.

    Si vous souhaitez exporter des événements manuellement et à la demande à partir de votre Splunk Enterprise console pour l’intégration, téléchargez, installez et configurez le module complémentaire d’ingestion d’événements ServiceNow pour Security Operations à Splunk Enterprise partir de splunkbase dans votre Splunk Enterprise console.

    Ce ServiceNow module d’extension est requis pour que les incidents de sécurité puissent être créés à partir d’événements exportés manuellement dans votre Now Platform instance. Ce ServiceNow module complémentaire d’ingestion d’événements de Security Operations pour Splunk Enterprise l’application est disponible sur splunkbase.

    Pour le transfert manuel d’événements, vous pouvez identifier jusqu’à deux points de terminaison (instances) différents Now Platform dans votre Splunk Enterprise console. Vous transférez manuellement les événements au ou aux points de terminaison pour créer des incidents de sécurité. Par exemple, vous pouvez spécifier à la fois une instance intermédiaire (développement) et une instance de production. En spécifiant des instances distinctes et en nommant des workflows primaires et secondaires pour chaque instance, vous pouvez choisir l’emplacement où vous souhaitez transférer différents événements.

    Procédure

    1. Si vous n’avez pas déjà installé le module complémentaire ServiceNow Security Operations Event Ingestion pour Splunk Enterprise, procédez comme suit pour l’installer et le configurer.
      1. Accédez à splunkbase.
      2. Recherchez le module complémentaire ServiceNow Security Operations Security Operations Event Ingestion pour Splunk Enterprise.
        Remarque :
        Vérifiez que vous avez sélectionné ServiceNow Security Operations le module complémentaire d’ingestion d’événements pour Splunk Enterprise. Il y a des addons supplémentaires ServiceNow qui sont affichés dans cette liste. Ces modules complémentaires sont destinés à différentes ServiceNow Splunk intégrations et ne sont pas requis pour cette intégration.
      3. Téléchargez l’application.
      4. Ouvrez votre Splunk Enterprise compte.
      5. Sur la page Applications, cliquez sur l’icône d’engrenage ou sur le raccourci Gérer les applications dans la liste déroulante du menu.
      6. En haut à gauche de la page Applications qui s’affiche, cliquez sur Installer l’application à partir d’un fichier.
      7. Cliquez sur Choisir un fichier, sélectionnez ServiceNow le module complémentaire Security Operations Event Ingestion pour Splunk Enterprise, puis cliquez sur Charger.
      8. Si vous y êtes invité, redémarrez Splunk Enterprise.
        Le ServiceNow module complémentaire Splunk Enterprise d’ingestion d’événements pour Security Operations est installé dans votre Splunk Enterprise console d’entreprise. L’étape suivante pour configurer l’Addon.
    2. Pour configurer l’Addon, procédez comme suit.
      1. Dans Splunk Enterprise, cliquez sur l’icône d’engrenage Applications ou sur Gérer les applications dans la liste déroulante du menu.
      2. Dans la liste des applications qui s’affiche, dans la colonne Actions , cliquez sur Configurer le module complémentaire d’ingestionServiceNow Security Operations d’événements pour Splunk Enterprise.
      3. Remplissez le formulaire.
        La figure suivante est un exemple de formulaire rempli dans votre Splunk Enterprise console.
      Champ de la section Spécifier l’instance principale ServiceNowDescription
      Étiquette de l’action du workflow Nom du workflow pour votre Now Platform instance de production (principale). Ce nom est le nom d’une Now Platform instance que vos utilisateurs en charge de la surveillance des Splunk événements identifient comme instance principale, par exemple, ServiceNow Event Ingestion (Production).

      La valeur par défaut pour ce champ est Ingestion d’événements ServiceNow (production).

      Dans votre Splunk Enterprise console, ce nom de workflow s’affiche pour l’instance de production (primaire) dans la liste déroulante Actions d’événement développée d’une recherche. Il s’agit du nom de votre instance de production. Vous pouvez modifier le nom.
      URL URL de l’instance Now Platform que vous avez saisie dans le champ d’étiquette d’action de workflow précédent.

      Copiez l’URL dans votre navigateur et collez-la dans ce champ du formulaire.
      Point de terminaison Chemin d’accès de l’API de base. Pour plus d’informations, reportez-vous à la figure qui suit le tableau.

      Si vous n’avez pas de valeur pour le point de terminaison de votre Now Platform instance de production, procédez comme suit.

      1. Connectez-vous à votre Now Platform instance de production en tant qu’utilisateur disposant du rôle d’administrateur système (admin).
      2. Entrez les API REST basées sur un script dans le panneau de navigation.
      3. Une fois le panneau de navigation actualisé, sélectionnez le module Scripted REST APIs qui s’affiche.
      4. Si l’ingestion d’événements n’est pas répertoriée dans la colonne Nom de la liste des API REST scriptées qui s’affiche, dans le champ de recherche situé en haut, entrez Ingestion d’événements.
      5. Dans la colonne Chemin d’accès de l’API de base de la page actualisée, copiez cette valeur et collez-la dans le champ Point de terminaison du formulaire. Voici un exemple de chemin d’accès de l’API de base : /api/sn_sec_splunk_v2/event_ingestion.
      Nom d'utilisateur Nom d’utilisateur de votre Now Platform instance. Il s’agit du nom d’utilisateur de l’instance Now Platform dans laquelle vous avez affecté un utilisateur disposant du rôle (sn_sec_splunk_v2.api_account_access) pour le transfert manuel d’événements.

      Pour en savoir plus sur l’affectation de ce rôle, reportez-vous à Configurer votre Now Platform instance pour l’intégration Splunk Enterprise Event Ingestion.
      Mot de passe Mot de passe de votre Now Platform instance.

      Ce mot de passe est le mot de passe de l’instance Now Platform dans laquelle vous avez affecté un utilisateur ayant le rôle (sn_sec_splunk_v2.api_account_access) pour le transfert manuel d’événements.
      (Facultatif) Champs de la section Spécifier l’instance secondaire ServiceNow Description

      Ces champs sont facultatifs. Vous n’êtes pas tenu de spécifier une instance secondaire.
      Étiquette de l’action du workflow Nom du workflow pour votre Now Platform instance secondaire (intermédiaire). Il s’agit du nom d’une Now Platform instance que les utilisateurs qui surveillent les Splunk événements identifient comme une instance secondaire, par exemple, ServiceNow l’ingestion d’événements (intermédiaire).

      Dans votre Splunk Enterprise console, ce nom de workflow s’affiche pour l’instance intermédiaire (secondaire) dans la liste déroulante Actions d’événement développée d’une recherche. Cette Now Platform instance est votre instance intermédiaire. Vous pouvez modifier le nom.
      URL L’URL de l’instance Now Platform que vous avez saisie dans le champ d’étiquette de l’action de workflow précédent pour l’instance secondaire Now Platform .

      Copiez l’URL dans votre navigateur et collez-la dans ce champ du formulaire.
      Point de terminaison Chemin d’accès de l’API de base. Cette valeur du chemin d’accès de l’API de base pour votre instance secondaire est la même que celle du chemin d’accès de l’API de base pour votre instance primaire. Consultez la figure précédente du formulaire pour plus d’informations.
      Nom d'utilisateur Nom d’utilisateur de votre Now Platform instance de stockage intermédiaire. L’utilisateur doit avoir le rôle (sn_sec_splunk_v2.api_account_access).
      Mot de passe Mot de passe de votre Now Platform instance d’étape intermédiaire. L’utilisateur doit avoir le rôle (sn_sec_splunk_v2.api_account_access).
      La figure suivante est un exemple de la liste des API REST scriptées dans votre Now Platform. La liste affiche l’emplacement de la valeur de point de terminaison d’une Now Platform instance que vous saisissez dans le formulaire dans le cadre de la configuration du module complémentaire d’ingestion d’événements ServiceNow Security Operations pour l’extension dans Splunk Enterprise votre Splunk Enterprise console.
      Figure 1. Liste des API REST basées sur un script dans Now Platform
      Chemin d’accès de l’API de base en surbrillance.
    3. Dans le formulaire de configuration de votre Splunk Enterprise console, cliquez sur Enregistrer pour enregistrer vos modifications.

      Après quelques instants, en haut à gauche du formulaire de votre Splunk Enterprise console, un message s’affiche indiquant que l’enregistrement a été mis à jour avec succès.

      Une fois le formulaire enregistré, les noms (étiquettes d’action de workflow) de votre ou de vos Now Platform instances que vous avez créées dans le formulaire sont disponibles dans la liste de choix Actions d’événement sur un événement sélectionné d’une recherche dans votre Splunk Enterprise console.

    Que faire ensuite

    Si vous n’avez pas encore enregistré les recherches dans votre Splunk Enterprise console, l’étape suivante consiste à enregistrer les recherches sous forme d’alertes dans votre Splunk Enterprise console.