Installer et configurer l’application ServiceNow pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Avant d’exécuter l’intégration sur votre Now Platform® instance, effectuez ces étapes d’installation et de configuration afin que l’application s’intègre correctement aux Réponse aux incidents de sécurité produits et Security Operations de votre Now Platform® instance.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Si vous n’avez pas installé l’application à partir de ServiceNow Store pour Splunk Enterprise Event Ingestion l’intégration, consultez Installer une Security Operations intégration et suivez les étapes pour l’installer.
    2. Une fois l’application correctement installée, accédez à Intégrations > Configurations des intégrations et localisez la mosaïque Ingestions d’événements Splunk .
    3. Pour configurer l’application, cliquez sur Nouveau.
      Nouvelle mosaïque de configuration Splunk.
    4. Si un bouton Configurer s’affiche sur une mosaïque, vous pouvez également cliquer dessus pour modifier une configuration existante.
    5. Renseignez les champs de la boîte de dialogue Configuration des ingestions d’événements qui s’affiche.
      ChampDescription
      Nom Nom de la console ou Splunk Cloud de l’instance Splunk Enterprise utilisée pour l’intégration.

      Les espaces sont pris en charge pour les noms, mais pas les parenthèses. Par exemple, entrez HQ-USA ou HQ USA.
      URL de Base de l'API Splunk URL de votre console ou Splunk Cloud de votre Splunk Enterprise instance.
      Authentification de base Cette option est désactivée par défaut.

      Si vous utilisez le nom d’utilisateur du compte API et le mot de passe API pour la configuration, cochez la case.
      Nom d’utilisateur du compte API Nom d’utilisateur que vous avez créé pour votre compte d’utilisateur individuel sur la Splunk Enterprise console.
      Mot de passe API Mot de passe que vous avez créé pour votre compte d’utilisateur individuel sur la Splunk Enterprise console.
      Basé sur un jeton (disponible à partir de la version 12.0.0)

      Authentification basée sur le jeton que vous avez créée pour votre compte d’utilisateur API sur la Splunk Enterprise console.
      Jeton Jeton que vous avez créé pour votre compte d’utilisateur API sur la Splunk Enterprise console.
      Serveur MID MID Server spécifique configuré dans votre environnement. Seuls les MID Servers actifs et validés sont disponibles dans cette liste de choix.
      Déploiement sur site Cette option est désactivée par défaut.

      Si vous utilisez la version basée sur le cloud de Splunk Enterprise, vérifiez que la case à cocher est décochée.

      Si cette option est activée, la liste de choix du MID Server s’affiche. Si vous utilisez une version locale de Splunk Enterprise, procédez comme suit pour sélectionner un MID Server.

      1. Cochez la case.

        Une liste de choix s’affiche. La valeur par défaut est N’importe lequel.

      2. Sélectionnez N’importe lequel uniquement si ce MID Server est configuré pour l’intégration Splunk Enterprise Event Ingestion .
      3. Dans la liste de choix, sélectionnez le Now Platform® MID Server que vous avez configuré dans votre instance pour cette intégration spécifique.

      La figure suivante est un exemple de formulaire rempli pour une configuration d’une version locale de Splunk Enterprise avec un MID Server.

      Formulaire de configuration avec les champs renseignés.

      Chaque Splunk Enterprise alerte que vous ingérez à partir de votre Splunk Enterprise console nécessite un profil d’événement unique dans votre Now Platform® instance. Toutefois, la source que vous configurez sur le formulaire Configuration des ingestions d’événements peut être réutilisée pour plusieurs Now Platform® profils, à condition que chaque profil ingère des alertes déclenchées uniques Splunk .

    6. Cliquez sur Envoyer.
      Une fois la validation terminée, la page Intégrations de sécurité s’affiche avec chacune de vos configurations. Sur chaque vignette de configuration valide, les boutons Configurer et Supprimer s’affichent comme illustré dans la figure suivante.
      Remarque :
      Vous devez utiliser soit l’authentification de base, soit l’authentification basée sur le jeton uniquement. Activez l’une des authentifications et saisissez les détails d’authentification correspondants. Si vous activez les deux, une erreur s’affichera.

      Une fois validée et soumise avec succès, chaque configuration du serveur d’ingestions d’événements Splunk est enregistrée sur la page Intégrations de sécurité sous forme de mosaïque. Si les vignettes de configuration que vous avez enregistrées ne s’affichent pas sur la page Intégrations de sécurité, dans le coin supérieur droit de la page, cliquez sur Oui dans la liste de choix Afficher les configurations.

      Formulaire de configuration de la configuration de l’ingestion d’événements Splunk Enterprise.

    Si un message d’erreur s’affiche après avoir cliqué sur Soumettre, entrez à nouveau vos informations et cliquez sur Soumettre.

    Que faire ensuite

    Vous avez correctement installé et configuré l’application. L’étape suivante consiste à créer un profil d’événement.