Prüfliste für die Splunk Enterprise Event Ingestion -Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Verwenden Sie diese Prüfliste, um alle Aufgaben der Integration zu durchlaufen. Die folgende Prüfliste enthält Setup- und Installationsaufgaben sowie Beispiele für Anwendungsfälle, die die erwarteten Ergebnisse für die Integration enthalten.

    Vorbereitungen

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Verfolgen Sie Ihren Fortschritt bei der Einrichtung, Installation und Konfiguration der Integration mit der folgenden Tabelle nach. Schließen Sie alle Aufgaben für einen Schritt ab, bevor Sie mit dem nächsten Schritt fortfahren. In jeder Zeile der Tabelle werden Aufgaben aufgelistet und die Rollen angegeben, die zum Ausführen der Aufgaben erforderlich sind. Nummerierte Themen des Installations- und Konfigurationsleitfadens werden ebenfalls referenziert.

    Erforderliche Rollen: Rollen werden für jeden Schritt unten aufgelistet.

    Prozedur

    1. Richten Sie als Benutzer mit der Administratorrolle Now Platform ] Ihre Now Platform -Instanz ein.
      • Weisen Sie Benutzer mit den Rollen sn_si.admin und sn_si.analyst nach Bedarf zu.
      • Installieren und konfigurieren Sie einen MID Server, wenn der Server Splunk in Ihrem Unternehmensnetzwerk bereitgestellt wird.
      • Vergewissern Sie sich, dass die Plugins ServiceNow Security Incident Response für Ihr Release von Now Platformaktiviert sind.
      • Wenn Sie Events manuell von Ihrer Splunk Enterprise -Konsole an Ihre Now Platform -Instanz weiterleiten möchten, vergewissern Sie sich, dass Sie die Rolle (sn_sec_splunk_v2.api_account_access) einem Benutzer mit der Splunk Enterprise -Unternehmensadministratorberechtigung zugewiesen haben.

      Weitere Informationen finden Sie unter Richten Sie Ihre Now Platform -Instanz für die Splunk Enterprise Event Ingestion -Integration ein.

      Sie haben die Setup-Schritte erfolgreich abgeschlossen und die erwarteten Ergebnisse für die Integration überprüft.
    2. Installieren und konfigurieren Sie als Benutzer mit der Administratorrolle Now PlatformSplunk Enterprise Event Ingestion die Anwendung [] aus dem ServiceNow Store.
      1. Laden Sie die Anwendung herunter, und installieren Sie sie in Ihrer Instanz Now Platform.
      2. Konfigurieren Sie die Anwendung, und stellen Sie eine Verbindung zu Ihrer Splunk Enterprise -Konsole her.

      Weitere Informationen finden Sie unter Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration von Splunk Enterprise Event Ingestion ..

    3. Wahlweise: Wenn Sie Events manuell aus Ihrer Splunk Enterprise -Konsole in Ihre Now Platform -Instanz exportieren möchten, führen Sie die folgenden Aufgaben aus:
      1. Installieren, richten Sie als Splunk Enterprise ]-Administrator das Add-on „ ServiceNow Security Operations Event Ingestion“ für Splunk Enterprise aus splunkbase in Ihrer Splunk Enterprise -Konsole ein, richten Sie es ein und aktivieren Sie es.
      2. Speichern Sie als Splunk Enterprise -Administrator, falls noch nicht konfiguriert, Suchen als Warnungen in Ihrer Splunk Enterprise -Konsole.

        Weitere Informationen finden Sie unter Richten Sie Ihre Splunk -Umgebung für die manuelle Event-Erfassung für die Splunk Enterprise -Integration der Event-Erfassung ein und Speichern Sie Suchen in Ihrer Splunk Enterprise -Konsole für die Splunk Enterprise Event Ingestion -Integration.

    4. Erstellen und benennen Sie als Benutzer mit der Rolle Now Platform sn_si.admin ein Event-Profil.

      Wählen Sie den Profiltyp aus der Auswahlliste aus. Optionen sind ein geplantes Warnungsprofil, das Sie zum Erfassen von Beispieldaten verwenden, oder ein Event-Profil, mit dem Sie Anhangdaten manuell aus Ihrer Splunk Enterprise -Konsole exportieren können.

      • Wählen Sie für eine geplante Warnung eine verfügbare Warnung aus.
      • Erstellen Sie für ein Profil für manuell exportierte Daten eine neue Zuordnung, oder kopieren Sie eine vorhandene Zuordnung.

      Weitere Informationen finden Sie unter Erstellen und benennen Sie ein Event-Profil für die Splunk Enterprise Event Ingestion -Integration.

    5. Ordnen Sie als Benutzer mit der Rolle Now Platform sn_si.admin erfasste Werte oder Anhangdaten, die aus Splunk Enterprise exportiert werden, zu Now Platform Security Incidents zu.
      1. Rufen Sie Beispieldaten für eine geplante Warnung ab.
      2. Exportieren Sie Anhangdaten manuell aus Splunk Enterprise für ein Event.
      3. Bearbeiten Sie die Standardzuordnungskonfiguration.
      4. Fügen Sie optional Filterkriterien hinzu, hängen Sie eine Warnung an einen vorhandenen Security Incident an, und verwenden Sie den Skript-Editor.

      Weitere Informationen finden Sie unterZuordnung von Warnungen und Events für die Splunk Enterprise Event Ingestion -Integration und Ordnen Sie Warnungen für die Splunk Enterprise Event Ingestion -Integration zu.

    6. Zeigen Sie als Benutzer mit der Rolle Now Platform sn_si.admin eine Vorschau der Daten aus Splunk Enterprise an, die für einen Now Platform Security Incident angezeigt werden.

      Beheben Sie alle Fehler, oder fügen Sie fehlende Daten hinzu, damit keine Fehlermeldungen angezeigt werden.

      Weitere Informationen finden Sie unter Zeigen Sie eine Vorschau des Security Incident für die Splunk Enterprise Event Ingestion -Integration an.

    7. Planen Sie als Benutzer mit der Rolle Now Platform sn_si.admin den Warnungsabruf für ein Profil mit einer geplanten Warnung.

      Weitere Informationen finden Sie unter Planen und rufen Sie Warnungen für die Splunk Enterprise Event Ingestion -Integration ab.