Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration von Splunk Enterprise Security Notable Event Ingestion

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Führen Sie diese Installations- und Konfigurationsschritte aus, bevor Sie die Integration in Ihrer Instanz von Now Platform® ausführen, damit die Anwendung ordnungsgemäß in die Produkte Security Incident Response und Security Operations in Ihrer Instanz von Now Platform® integriert wird.

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Wenn Sie die Anwendung Splunk Enterprise Security Event Ingestion nicht aus dem ServiceNow Store für die Integration installiert haben, lesen Sie Installieren Sie eine Security Operations -Integration, und führen Sie die Schritte zur Installation aus.
    2. Nachdem Sie die Anwendung erfolgreich installiert haben, navigieren Sie zu Integrationen > Integrationskonfigurationen , und suchen Sie die Kachel Splunk „ Event Ingestions“.
    3. Um die Anwendung zu konfigurieren, klicken Sie auf Neu.

      Kachel „SplunkEvent-Erfassungen“.
    4. Wenn auf einer Kachel die Schaltfläche Konfigurieren angezeigt wird, klicken Sie darauf, um eine vorhandene Konfiguration zu bearbeiten.
    5. Füllen Sie im angezeigten Dialogfeld „Konfiguration der Event-Erfassung“ die Felder aus.
      FeldBeschreibung
      Name Name der Splunk Enterprise Security -Konsole oder Splunk Cloud -Instanz, die für die Integration verwendet wird.

      Leerzeichen werden für Namen unterstützt, Klammern jedoch nicht. Geben Sie beispielsweise SplunkES2ein.
      Basis-URL der Splunk-API URL für Ihre Splunk Enterprise Security -Konsole oder Splunk Cloud -Instanz. Die URL muss den API-Port enthalten, z. B.: https://mysplunkserver.com:8089
      Standardauthentifizierung Standardmäßig deaktiviert.

      Wenn Sie für die Konfiguration den API-Kontobenutzernamen und das API-Passwort verwenden, aktivieren Sie das Kontrollkästchen.
      API-Kontobenutzername Benutzername, den Sie für Ihr API-Benutzerkonto in der Konsole Splunk Enterprise Security erstellt haben.
      API-Passwort Passwort, das Sie für Ihr API-Benutzerkonto in der Konsole Splunk Enterprise Security erstellt haben
      Tokenbasiert (verfügbar ab Version 12.0.0) Token, das Sie für Ihren API-Benutzeraccount in der Splunk Enterprise Security-Konsole erstellt haben
      Token Token, das Sie für Ihr API-Benutzerkonto in der Splunk Enterprise Security-Konsole erstellt haben
      Lokale Bereitstellung Standardmäßig deaktiviert.

      Wenn Sie eine lokale Version von Splunk Enterprise Securityverwenden, vergewissern Sie sich, dass dieses Kontrollkästchen aktiviert ist.
      MID-Server Option zur Auswahl eines bestimmten MID-Servers zur Einrichtung in Ihrer Umgebung, der von dieser Integration verwendet wird, um wichtige Ereignisse in ServiceNowabzurufen .
      Sie können einen bestimmten MID Server aus der Liste auswählen oder Beliebig auswählen, um die automatische Auswahl eines gültigen MID Servers aus der Liste für diese Integration zu aktivieren.
      Hinweis:
      • Der während dieser Konfigurationszeit ausgewählte MID Server gilt für die gesamte Integration.
      • In dieser Liste werden nur aktive und validierte MID Server angezeigt. Standardmäßig ist der Wert auf Beliebigfestgelegt.

      Beispiel: Es gibt drei MID Server A, B und C. Wenn Sie Beliebigauswählen, wird einer dieser MID Server automatisch ausgewählt und für die gesamte Integration verwendet. Wenn Sie einen bestimmten MID Server auswählen, z. B. C, gilt der ausgewählte MID Server C für die gesamte Integration.

      Wenn Sie den MID Server ändern möchten, müssen Sie ihn über die Kachel „App-Konfiguration“ neu konfigurieren.
      Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular für die Konfiguration einer lokalen Version von Splunk Enterprise Security mit einem MID Server.
      Splunk-Event-Erfassung

      Jeder Splunk Enterprise Security erkennbare Event-Typ, den Sie über Ihre Splunk Enterprise Security Incident-Überprüfungskonsole erfassen, erfordert ein eindeutiges Event-Profil in Ihrer Now Platform® -Instanz. Die Quelle, die Sie im Formular Event-Erfassungskonfiguration konfigurieren, kann jedoch für mehrere Now Platform® -Profile wiederverwendet werden, solange jedes Profil eindeutige wichtige Event-Typen erfasst.

    6. Klicken Sie auf Absenden.
      Nach erfolgreicher Validierung wird die Seite „Sicherheitsintegrationen“ mit jeder Ihrer Konfigurationen angezeigt. Auf jeder gültigen Konfigurationskachel werden die Schaltflächen Aktualisieren und Löschen angezeigt (siehe folgende Abbildung).
      Hinweis:
      Benutzer müssen entweder die Standardauthentifizierung oder die tokenbasierte Authentifizierung verwenden. Wenn Sie beides aktivieren, wird der folgende Fehler ausgegeben.
      Konfiguration der Splunk-Event-Erfassung
      Hinweis:
      Wenn Benutzer die vorhandenen Konfigurationskacheln auf Token-basierte aktualisieren möchten, müssen sie diese Einstellung aktivieren, um vorhandene Splunk Quellkonfigurationen für die Einstellung Token-basierte Authentifizierungsunterstützung im Modul Splunk Enterprise-Einstellungen zu aktualisieren.

      Schaltfläche Aktualisieren/Löschen

      Nach erfolgreicher Validierung und Übermittlung wird jede Serverkonfiguration für Event-Erfassungen Splunk auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln nicht auf der Seite „Sicherheitsintegrationen“ angezeigt werden, wählen Sie in der oberen rechten Ecke der Seite in der Liste Konfigurationen anzeigen die Option Jaaus.

    Nächste Maßnahme

    Sie haben die Anwendung erfolgreich installiert und konfiguriert. Der nächste Schritt besteht darin, ein Event-Profil zu erstellen.