Instalar e configurar a aplicação ServiceNow para a integração de ingestão de eventos notáveis Splunk Enterprise Security

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Antes de executar a integração na sua instância Now Platform®, conclua estas etapas de instalação e configuração para que a aplicação se integre corretamente aos produtos Security Incident Response e Security Operations na sua instância Now Platform®.

    Antes de Iniciar

    Função necessária: administrador

    Procedimento

    1. Se você não instalou a aplicação de ingestão de eventos [ Splunk Enterprise Security do ServiceNow Store para a integração, consulte Instalar uma integração Security Operations e siga as etapas para instalá-lo.
    2. Depois de instalar a aplicação com êxito, navegue até Integrações > Configurações de integrações e localize o bloco Splunk Ingestões de evento.
    3. Para configurar a aplicação, clique em Novo.

      Bloco de ingestão de SplunkEvent
    4. Como alternativa, se um botão Configurar for exibido em um bloco, clique nele para editar uma configuração existente.
    5. Na caixa de diálogo Configuração de ingestão de eventos exibida, preencha os campos.
      CampoDescrição
      Nome Nome do console [ Splunk Enterprise Security ou instância Splunk Cloud usada para a integração.

      Espaços são compatíveis com nomes, mas parênteses não são compatíveis. Por exemplo, insira SplunkES2.
      URL base da API Splunk URL do console [ Splunk Enterprise Security ou instância Splunk Cloud. O URL deve incluir a porta da API, por exemplo: https://mysplunkserver.com:8089
      Autenticação básica O padrão é desabilitado.

      Se você estiver usando o Nome de usuário da conta da API e a Senha da API para configuração, ative a caixa de seleção.
      Nome de usuário da conta da API Nome de usuário que você criou para sua conta de usuário da API no console Splunk Enterprise Security.
      Senha da API Senha que você criou para sua conta de usuário da API no console Splunk Enterprise Security.
      Baseado em token (disponível a partir da versão 12.0.0) Token que você criou para sua conta de usuário da API no console do Splunk Enterprise Security.
      Token Token que você criou para sua conta de usuário da API no console de Segurança Corporativa Splunk do.
      Implantação no Local O padrão é desabilitado.

      Se você estiver usando uma versão baseada no local do Splunk Enterprise Security, verifique se esta caixa de seleção está marcada.
      MID Server Opção para escolher um MID Server específico para configurar em seu ambiente, que será usado por esta integração para extrair eventos notáveis em ServiceNow.
      Você pode selecionar um MID Server específico na lista ou selecionar Qualquer para habilitar a seleção automática de um MID Server válido na lista para esta integração.
      Nota:
      • O MID Server selecionado durante este tempo de configuração se aplica a esta integração.
      • Somente os MID Servers que estão ativos e validados são exibidos nesta lista. Por padrão, o valor é definido como Qualquer.

      Por exemplo, há três MID Servers A, B e C. Se você selecionar Qualquer, um desses MID Servers será selecionado automaticamente e se aplicará a toda esta integração. Se você selecionar um MID Server específico, digamos C, o MID Server C selecionado se aplicará a esta integração.

      Se você quiser mudar o MID Server, será necessário reconfigurá-lo no bloco Configuração do aplicativo.
      A figura a seguir é um exemplo de um formulário preenchido para uma configuração de uma versão local do Splunk Enterprise Security com um MID Server.
      Ingestão de evento do Splunk

      Cada tipo de evento notável Splunk Enterprise Security que você ingere do console de revisão de incidente Splunk Enterprise Security requer um perfil de evento exclusivo em sua instância Now Platform®. No entanto, a origem que você configura no formulário Configuração de ingestão de eventos pode ser reutilizada para vários perfis Now Platform®, desde que cada perfil inclua tipos de evento notáveis exclusivos.

    6. Clique em Enviar.
      Depois que a validação for concluída com sucesso, a página Integrações de segurança será exibida com cada uma das suas configurações. Em cada bloco de configuração válido, os botões Atualizar e Excluir são exibidos, conforme mostrado na figura a seguir.
      Nota:
      Os usuários precisam usar a Autenticação básica ou a Autenticação baseada em token. Habilitar ambos resultará no seguinte erro.
      Configuração de ingestão de eventos do Splunk
      Nota:
      Se os usuários preferirem atualizar os blocos de configuração existentes para baseados em token, eles precisarão habilitar a configuração Ativar esta configuração para atualizar as configurações de origem Splunk existentes para o suporte à autenticação baseada em token no módulo Splunk Configurações do Enterprise.

      Botão Atualizar/Excluir

      Depois de validada e enviada com sucesso, cada configuração de servidor de ingestão de eventos Splunk é salva na página Integrações de segurança como um bloco. Se os blocos de configuração salvos não forem exibidos na página Integrações de segurança, no canto superior direito da página, na lista Mostrar configurações, selecione Sim.

    O que Fazer Depois

    Você instalou e configurou a aplicação com sucesso. A próxima etapa é criar um perfil de evento.