Configure seu ambiente Splunk para ingestão manual de eventos para a integração de ingestão de eventos Splunk Enterprise

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 6 min. de leitura

    • Se você quiser exportar eventos manualmente e sob demanda do console Splunk Enterprise para esta integração, instale e configure o aplicativo ServiceNow Security Operations Event Ingestion Addon para Splunk Enterprise no console corporativo Splunk ou na instância do Splunk Cloud.

    Antes de Iniciar

    Verifique se você instalou a aplicação para esta integração do ServiceNow Store antes de instalar o plug-in do complemento do splunkbase que é necessário para a ingestão manual de eventos. Se você não instalou o aplicativo para a integração do ServiceNow Store, consulte Instalar e configurar a aplicação ServiceNow para a integração Splunk Enterprise Event Ingestion e siga as instruções para instalá-lo.

    Função necessária: Now Platform administrador (admin)

    Por Que e Quando Desempenhar Esta Tarefa

    A instalação e configuração do Complemento de ingestão de eventos do Security Operations ServiceNow é opcional.

    Se você quiser exportar eventos manualmente e sob demanda do console Splunk Enterprise para a integração, baixe, instale e configure o ServiceNow Complemento de ingestão de eventos do Security Operations para Splunk Enterprise do splunkbase no console Splunk Enterprise.

    Este complemento de extensão ServiceNow é necessário para que os incidentes de segurança possam ser criados a partir de eventos exportados manualmente em sua instância Now Platform. Esta aplicação ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise está disponível em splunkbase.

    Para o encaminhamento manual de eventos, você pode identificar até dois Now Platform endpoints (instâncias) diferentes no console Splunk Enterprise. Você encaminha os eventos para o endpoint ou endpoints manualmente para criar incidentes de segurança. Por exemplo, você pode especificar uma instância de preparação (desenvolvimento) e uma instância de produção. Ao especificar instâncias separadas e nomear fluxos de trabalho primários e secundários para cada instância, você pode escolher para onde deseja encaminhar eventos diferentes.

    Procedimento

    1. Se você ainda não instalou o ServiceNow Complemento de ingestão de eventos do Security Operations para Splunk Enterprise, siga estas etapas para instalá-lo e configurá-lo.
      1. Navegue até splunkbase.
      2. Pesquise o ServiceNow Security Operations Complemento de ingestão de eventos do Security Operations para Splunk Enterprise.
        Nota:
        Verifique se você selecionou ServiceNow Security Operations Complemento de ingestão de eventos para Splunk Enterprise. Há complementos ServiceNow adicionais que são exibidos nesta lista. Esses complementos são para diferentes integrações ServiceNow Splunk e não são necessários para esta integração.
      3. Baixe a aplicação.
      4. Abra sua conta Splunk Enterprise.
      5. Na página Aplicativos, clique no ícone de engrenagem ou no atalho Gerenciar aplicativos na lista suspensa do menu.
      6. No canto superior esquerdo da página Aplicativos exibida, clique em Instalar aplicativo do arquivo.
      7. Clique em Escolher arquivo, selecione ServiceNow Complemento de ingestão de eventos do Security Operations para Splunk Enterprisee clique em Carregar.
      8. Se solicitado, reinicie Splunk Enterprise.
        O ServiceNow Complemento de ingestão de eventos do Security Operations para Splunk Enterprise está instalado no console empresarial Splunk Enterprise. A próxima etapa é configurar o complemento.
    2. Para configurar o complemento, siga estas etapas.
      1. Em Splunk Enterprise, clique no ícone de engrenagem de aplicativos ou em Gerenciar aplicativos na lista suspensa do menu.
      2. Na lista de aplicações exibida, na coluna Ações, clique em Configurar para ServiceNow Security Operations Complemento de ingestão de eventos para Splunk Enterprise.
      3. Preencha o formulário.
        A figura a seguir é um exemplo de um formulário preenchido no console Splunk Enterprise.
      Campo na seção Especificar instância primária da ServiceNowDescrição
      Rótulo de ação de fluxo de trabalho Nome do fluxo de trabalho Now Platform para sua instância de produção (primária). Este nome é o nome de uma instância Now Platform que os usuários que estão monitorando eventos Splunk identificam como uma instância primária, por exemplo, ingestão de eventos da ServiceNow (produção).

      O padrão para este campo é Ingestão de evento da ServiceNow (Produção).

      No console Splunk Enterprise, este nome de fluxo de trabalho é exibido para a instância de produção (Primária) na lista suspensa expandida de Ações de evento de uma pesquisa. Este nome é o nome da sua instância de produção. Você pode editar o nome.
      URL O URL da instância Now Platform que você inseriu no campo de rótulo de ação de fluxo de trabalho anterior.

      Copie o URL no seu navegador e cole-o neste campo do formulário.
      Endpoint Caminho da API base. Para obter mais informações, consulte a figura que segue a tabela.

      Se você não tiver um valor para o endpoint da sua instância de produção Now Platform, siga estas etapas.

      1. Faça login na sua instância de produção Now Platform como um usuário com a função de administrador do sistema (admin).
      2. Insira Scripted REST APIs no painel de navegação.
      3. Depois que o painel de navegação for atualizado, selecione o módulo Scripted REST APIs que será exibido.
      4. Se a Ingestão de eventos não estiver listada na coluna Nome da lista de Scripted REST APIs exibida, no campo de pesquisa na parte superior, insira Ingestão de eventos.
      5. Na coluna Caminho da API base na página atualizada, copie este valor e cole-o no campo Endpoint do formulário. Um exemplo de caminho de API base é /api/sn_sec_splunk_v2/event_ingestion.
      Nome do usuário Nome de usuário para sua instância Now Platform. Este nome é o nome de usuário da instância Now Platform na qual você atribuiu um usuário com a função (sn_sec_splunk_v2.api_account_access) para encaminhamento de evento manual.

      Para obter mais informações sobre como atribuir esta função, consulte Configure sua instância Now Platform para a integração Splunk Enterprise Event Ingestion.
      Senha Senha para sua instância Now Platform.

      Essa senha é a senha da instância Now Platform na qual você atribuiu um usuário com a função (sn_sec_splunk_v2.api_account_access) para encaminhamento de evento manual.
      (Opcional) Campos na seção Especificar instância secundária da ServiceNow Descrição

      Esses campos são opcionais. Você não precisa especificar uma instância secundária.
      Rótulo de ação de fluxo de trabalho Nome do fluxo de trabalho Now Platform para sua instância secundária (preparação). Este nome é o nome de uma instância Now Platform que os usuários que estão monitorando Splunk eventos identificam como uma instância secundária, por exemplo, ServiceNow ingestão de eventos (preparação).

      No console Splunk Enterprise, este nome de fluxo de trabalho é exibido para a instância de preparação (secundária) na lista suspensa expandida de Ações de evento de uma pesquisa. Esta instância Now Platform é sua instância de preparação. Você pode editar o nome.
      URL O URL da instância Now Platform que você inseriu no campo de rótulo de ação de fluxo de trabalho anterior para a instância Now Platform secundária.

      Copie o URL no seu navegador e cole-o neste campo do formulário.
      Endpoint Caminho da API base. Este valor para o caminho da API base da sua instância secundária é o mesmo valor que o caminho da API base da sua instância primária. Consulte a figura anterior do formulário para obter mais informações.
      Nome do usuário Nome de usuário para sua instância de preparação Now Platform. O usuário deve ter a função (sn_sec_splunk_v2.api_account_access).
      Senha Senha para sua instância de preparação Now Platform. O usuário deve ter a função (sn_sec_splunk_v2.api_account_access).
      A figura a seguir é um exemplo da lista de Scripted REST APIs em seu Now Platform. A lista exibe o local do valor do endpoint de uma instância Now Platform que você insere no formulário como parte da configuração da extensão ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise no console Splunk Enterprise.
      Figura 1. Lista de Scripted REST APIs na Now Platform
      Caminho da API base realçado.
    3. No formulário de configuração do console Splunk Enterprise, clique em Salvar para salvar suas edições.

      Após alguns momentos, na parte superior esquerda do formulário no console Splunk Enterprise, será exibida uma mensagem informando que o registro foi atualizado com sucesso.

      Depois de salvar o formulário, os nomes (rótulos de ação de fluxo de trabalho) das instâncias Now Platform que você criou no formulário estão disponíveis na lista de seleção Ações de evento em um evento selecionado de uma pesquisa no console Splunk Enterprise.

    O que Fazer Depois

    Se você ainda não salvou pesquisas no console Splunk Enterprise, a próxima etapa é salvar pesquisas como alertas no console Splunk Enterprise.