Richten Sie Ihre Now Platform -Instanz für die Splunk Enterprise Security -Integration ein

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Im folgenden Abschnitt werden die Setup-Aufgaben aufgelistet, die Sie in Ihrer Instanz Now Platform® ausführen müssen, bevor Sie die Anwendung aus dem ServiceNow Storeinstallieren.

    Erforderliche Rolle: admin.

    Überprüfen Sie in der folgenden Tabelle, ob Sie alle aufgeführten Aufgaben abgeschlossen haben, bevor Sie die Anwendung herunterladen und installieren, um eine reibungslose Installation und Konfiguration zu gewährleisten.

    1. Vergewissern Sie sich, dass Sie die erforderlichen Rollen Now Platform® und Security Incident Response (SIR) zugewiesen haben.

      Die folgenden Rollen sind für die Installation, Einrichtung und Verwendung der -Integration in Ihrer Now Platform® -Instanz erforderlich.

      • Ein Benutzer mit der Administratorrolle Now Platform® (admin) installiert die Anwendung aus dem ServiceNow Store und weist die Rolle „Security Incident-Administrator“ (sn_si.admin) zu.
      • Wenn Sie für diese Integration wichtige Events manuell aus Splunk Enterprise Security weiterleiten möchten, weist ein Benutzer mit der Administratorrolle Now Platform® einem Benutzer mit der Rolle (sn_sec_splunkes.api_account_access) in Now Platform®zu. Diese Rolle ermöglicht einem Benutzer mit der Administratorrolle Splunk Enterprise Security den Zugriff auf die API in Now Platform®, die für die manuelle Event-Weiterleitung für diese Integration erforderlich ist.

        Die Rolle (sn_sec_splunkes.api_account_access) ist für die Integration nicht erforderlich, wenn Sie wichtige Ereignisse automatisch aus Splunk Enterprise Security in Ihre Instanz von [ Now Platform® erfassen.

      • Ein Benutzer mit der Rolle „sn_si.admin“ überwacht die folgenden Aufgaben in Now Platform®: Benennt
        • , erstellt und bearbeitet Event-Profile.
        • Wählt Werte aus Splunk Enterprise Security bis Now Platform® Security Incidents aus und ordnet sie zu.
        • Zeigt eine Vorschau der Details zu Security Incidents auf Richtigkeit an, bevor die Konfiguration abgeschlossen wird.
        • Plant die laufende Erfassung wichtiger Ereignisse.
        • Ermöglicht die Aktualisierung wichtiger Ereignisse, wenn ein SIR-Incident erstellt und geschlossen wird.
        • Weist die Rolle Security Incident Analyst (sn_si.analyst) zu.
        • Benutzer mit der Rolle sn_si.analyst arbeiten mit Security Incidents.

      Weitere Informationen finden Sie unter Managing roles.

    2. Weisen Sie die Benutzerrolle Splunk zu.

      Weisen Sie in Splunk ES die Benutzerrolle „Sicherheitsanalyst“ (ess_analyst) zu, um alle integrationsbezogenen Aktivitäten auf dem Server Splunk ] auszuführen.

    3. Vergewissern Sie sich, dass Sie Version 7.2.6 oder höher der Splunk -API verwenden. Frühere Versionen werden nicht unterstützt.

      Wenn Sie Zugriff auf die Konsole Splunk Enterprise Security haben, haben Sie Zugriff auf die API, die für diese Integration erforderlich ist. Für die API ist kein weiteres spezielles Setup erforderlich.

    4. Vergewissern Sie sich, dass Sie einen MID Server installiert und konfiguriert haben.

      Ein MID-Server in Ihrer Now Platform® -Instanz ist erforderlich, um eine Verbindung zum Splunk -Service herzustellen, wenn der Splunk -Server in Ihrem Unternehmensnetzwerk bereitgestellt wird. Weitere Informationen finden Sie unter MID Server.

      Wenn Sie den Cloud-Service [ Splunk Enterprise Security verwenden, ist MID-Server nicht erforderlich.

    5. Vergewissern Sie sich, dass die Kernanwendungen ServiceNow, die zur Unterstützung der Integration erforderlich sind, installiert und aktiviert sind.

      Das Plugin „ Security Incident Response Dependency“ (com.snc.si_dep) ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen für die Integration erforderlichen Security Operations -Anwendungen installieren und aktivieren.

      Vergewissern Sie sich, dass die folgenden Security Operations Anwendungen über ServiceNow Store] installiert und aktiviert wurden. Wenn nicht installiert ist, installieren und aktivieren Sie jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation zu gewährleisten.

      1. Security Incident Response
      2. Security Integration Framework
      3. Sicherheitssupport Allgemein

      Weitere Informationen zur Installation der Kernanwendungen Security Operations finden Sie unter Rufen Sie eine Berechtigung für ein Produkt oder eine Anwendung von Security Operations ab und Aktivieren Sie eine Anwendung ServiceNow Store ..

    Sie haben Ihre Instanz Now Platform® erfolgreich für die Integration eingerichtet. Der nächste Schritt besteht darin, die Anwendung Splunk Enterprise Security Notable Event Ingestion aus dem ServiceNow Store für die -Integration zu installieren. Weitere Informationen finden Sie unter Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration von Splunk Enterprise Security Notable Event Ingestion.

    Wenn Sie wichtige Ereignisse manuell und bei Bedarf aus Ihrer Splunk Enterprise Security -Konsole für die Integration exportieren möchten, finden Sie weitere Informationen unter Richten Sie Ihre Splunk -Umgebung für die manuelle Event-Erfassung für die Integration von Splunk Enterprise Security Notable Event Ingestion ein.