Introdução ao Splunk Search integration for Security Operations

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • O softwareSplunk pesquisa, monitora e analisa big data gerado por máquina e se integra facilmente com Security Operations. Antes de usar a integração Splunk - Incident Enrichment, você deve baixá-la do ServiceNow Store e adicionar a URL base da API e as credenciais de login apropriadas.

    Antes de Iniciar

    Função necessária: sn_si_admin

    Procedimento

    1. Baixe a integração do ServiceNow Store.
    2. Quando a instalação estiver concluída, acesse Splunk e obtenha a Chave de API e o ID de API no seu perfil.
    3. Em sua instância, navegue até Security Operations > Configuração de Integração.
      As integrações de segurança disponíveis aparecem como uma série de cartões.
    4. No cartão Splunk - Incident Enrichment, clique em Novo.
      Splunk - Configuração de aprimoramento de incidente
    5. Preencha os campos, conforme necessário.
      Campo Descrição
      Nome O nome desta configuração.
      URL base da API Splunk O URL base que você adquiriu no site Splunk.
      URL do Link [Opcional] A URL do link que vincula à interface da Web Splunk, quando disponível.
      Nome do usuário Seu nome de usuário do Splunk.
      Senha Sua senha do Splunk.
      Máx. de Linhas O número máximo de linhas que você deseja pesquisar.
      Resultado Mais Antigo (dias) Os resultados mais antigos que você deseja ver em número de dias.
      Incluir amostras de dados brutos nos resultados da pesquisa Selecione esta opção para incluir amostras de dados brutos nos resultados da pesquisa de detecções. A quantidade de dados retornados depende da configuração na propriedade do número de linhas de dados brutos nas propriedades do Security Incident Response.
      MID Server Selecione Qualquer para usar qualquer MID Server ativo ou selecione um nome de MID Server específico.
      Nota:
      Configurar esta integração ativa fluxos de trabalho. Para gerenciar os fluxos de trabalho, navegue até o Editor de fluxode trabalho.
    6. Clique em Enviar.
      O cartão de configuração de integração é exibido.
    7. Ao exibir o novo cartão de configuração, você pode clicar em Configurar ou Excluir para mudar ou excluir a configuração, respectivamente.
    8. Para retornar à lista original de cartões de configuração de integração, selecione Não na lista suspensa Mostrar configurações.