Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration von Splunk Enterprise Event Ingestion .

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Führen Sie diese Installations- und Konfigurationsschritte aus, bevor Sie die Integration in Ihrer Instanz von Now Platform® ausführen, damit die Anwendung ordnungsgemäß in die Produkte Security Incident Response und Security Operations in Ihrer Instanz von Now Platform® integriert wird.

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Wenn Sie die Anwendung Splunk Enterprise Event Ingestion nicht aus dem ServiceNow Store für die Integration installiert haben, lesen Sie Installieren Sie eine Security Operations -Integration, und führen Sie die Schritte zur Installation aus.
    2. Nachdem Sie die Anwendung erfolgreich installiert haben, navigieren Sie zu Integrationen > Integrationskonfigurationen , und suchen Sie die Kachel Splunk „ Event Ingestions“.
    3. Um die Anwendung zu konfigurieren, klicken Sie auf Neu.
      Kachel „Neue Splunk-Konfiguration“.
    4. Wenn auf einer Kachel die Schaltfläche Konfigurieren angezeigt wird, klicken Sie darauf, um eine vorhandene Konfiguration zu bearbeiten.
    5. Füllen Sie im angezeigten Dialogfeld „Konfiguration der Event-Erfassung“ die Felder aus.
      FeldBeschreibung
      Name Name der Splunk Enterprise -Konsole oder Splunk Cloud -Instanz, die für die Integration verwendet wird.

      Leerzeichen werden für Namen unterstützt, Klammern jedoch nicht. Geben Sie beispielsweise Hauptquartier-USAoder Hauptquartier USAein.
      Basis-URL der Splunk-API URL für Ihre Splunk Enterprise -Konsole oder Splunk Cloud -Instanz.
      Standardauthentifizierung Standardmäßig deaktiviert.

      Wenn Sie für die Konfiguration den API-Kontobenutzernamen und das API-Passwort verwenden, aktivieren Sie das Kontrollkästchen.
      API-Kontobenutzername Benutzername, den Sie für Ihr individuelles Benutzerkonto in der Konsole Splunk Enterprise erstellt haben.
      API-Passwort Passwort, das Sie für Ihr individuelles Benutzerkonto in der Konsole Splunk Enterprise erstellt haben.
      Tokenbasiert (verfügbar ab Version 12.0.0)

      Tokenbasierte Authentifizierung, die Sie für Ihr API-Benutzerkonto in der Splunk Enterprise -Konsole erstellt haben.
      Token Token, das Sie für Ihr API-Benutzerkonto in der Konsole Splunk Enterprise erstellt haben
      MID-Server Spezifischer MID Server, der in Ihrer Umgebung eingerichtet ist. In dieser Auswahlliste sind nur aktive und validierte MID Server verfügbar.
      Lokale Bereitstellung Standardmäßig deaktiviert.

      Wenn Sie die cloudbasierte Version von Splunk Enterpriseverwenden, vergewissern Sie sich, dass das Kontrollkästchen deaktiviert ist.

      Wenn diese Option aktiviert ist, wird die Auswahlliste MID Server angezeigt. Wenn Sie eine lokale Version von Splunk Enterpriseverwenden, führen Sie die folgenden Schritte aus, um einen MID Server auszuwählen.

      1. Aktivieren Sie das Kontrollkästchen .

        Eine Auswahlliste wird angezeigt. Der Standardwert ist Beliebig.

      2. Wählen Sie Beliebig nur aus, wenn dieser MID Server für die Splunk Enterprise Event Ingestion -Integration konfiguriert ist.
      3. Wählen Sie in der Auswahlliste den MID Server Now Platform® aus, den Sie in Ihrer Instanz für diese spezifische Integration konfiguriert haben.

      Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular für die Konfiguration einer lokalen Version von Splunk Enterprise mit einem MID Server.

      Konfigurationsformular mit ausgefüllten Feldern.

      Jede Splunk Enterprise -Warnung, die Sie über Ihre Splunk Enterprise -Konsole erfassen, erfordert ein eindeutiges Event-Profil in Ihrer Now Platform® -Instanz. Die Quelle, die Sie im Formular Event-Erfassungskonfiguration konfigurieren, kann jedoch für mehrere Now Platform® Profile wiederverwendet werden, solange jedes Profil eindeutige Splunk ausgelöste Warnungen erfasst.

    6. Klicken Sie auf Absenden.
      Nach erfolgreicher Validierung wird die Seite „Sicherheitsintegrationen“ mit jeder Ihrer Konfigurationen angezeigt. Auf jeder gültigen Konfigurationskachel werden die Schaltflächen Konfigurieren und Löschen angezeigt (siehe folgende Abbildung).
      Hinweis:
      Sie müssen entweder die Standardauthentifizierung oder die tokenbasierte Authentifizierung verwenden. Aktivieren Sie eine der Authentifizierungen, und geben Sie die entsprechenden Authentifizierungsdetails ein. Wenn Sie beides aktivieren, wird ein Fehler angezeigt.

      Nach erfolgreicher Validierung und Übermittlung wird jede Serverkonfiguration für Event-Erfassungen Splunk auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln nicht auf der Seite „Sicherheitsintegrationen“ angezeigt werden, klicken Sie in der oberen rechten Ecke der Seite in der Auswahlliste Konfigurationen anzeigen auf Ja.

      Konfigurationsformular für die Konfiguration der Splunk Enterprise-Event-Erfassung.

    Wenn eine Fehlermeldung angezeigt wird, nachdem Sie auf Absenden geklickthaben, geben Sie Ihre Informationen erneut ein, und klicken Sie auf Absenden.

    Nächste Maßnahme

    Sie haben die Anwendung erfolgreich installiert und konfiguriert. Der nächste Schritt besteht darin, ein Event-Profil zu erstellen.