Configure sua instância Now Platform para a integração Splunk Enterprise Security

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • A seção a seguir lista as tarefas de configuração que você deve concluir em sua instância Now Platform® antes de instalar a aplicação do ServiceNow Store.

    Função necessária: administrador

    Consulte a tabela a seguir e verifique se você concluiu todas as tarefas listadas antes de baixar e instalar a aplicação para garantir uma instalação e configuração sem problemas.

    1. Verifique se você atribuiu as funções Now Platform® e Security Incident Response (SIR) necessárias.

      As funções a seguir são necessárias para a instalação, configuração e uso da integração na sua instância Now Platform®.

      • Um usuário com a função de administrador Now Platform® (admin) instala a aplicação a partir do ServiceNow Store e atribui a função de administrador de incidente de segurança (sn_si.admin).
      • Se você quiser encaminhar eventos notáveis manualmente de Splunk Enterprise Security para esta integração, um usuário com a função de administrador Now Platform® atribuirá um usuário com a função (sn_sec_splunkes.api_account_access) no Now Platform®. Esta função permite que um usuário com a função de administrador Splunk Enterprise Security acesse a API no Now Platform® que é necessário para o encaminhamento manual de eventos para esta integração.

        A função (sn_sec_splunkes.api_account_access) não será necessária para a integração se você estiver ingerindo eventos notáveis automaticamente de Splunk Enterprise Security para sua instância Now Platform®.

      • Um usuário com a função sn_si.admin supervisiona as seguintes tarefas no Now Platform®:
        • Nomeia, cria e edita perfis de evento.
        • Seleciona e mapeia valores de Splunk Enterprise Security a Now Platform® incidentes de segurança.
        • Visualiza os detalhes do incidente de segurança para precisão antes de finalizar a configuração.
        • Programa a ingestão de eventos notáveis em andamento.
        • Habilita atualizações de eventos notáveis quando um incidente de SIR é criado e encerrado.
        • Atribui a função de analista de incidente de segurança (sn_si.analyst).
        • Usuários com o sn_si.analyst trabalham com incidentes de segurança.

      Para obter mais informações, consulte Managing roles.

    2. Atribua a função de usuário Splunk.

      Atribua uma função de usuário de Analista de segurança (ess_analyst) no Splunk ES para executar todas as atividades relacionadas à integração no servidor Splunk.

    3. Verifique se você está usando a versão 7.2.6 ou posterior da API Splunk. Versões anteriores não são compatíveis.

      Se você tiver acesso ao console Splunk Enterprise Security, terá acesso à API necessária para esta integração. Não há nenhuma outra configuração especial necessária para a API.

    4. Verifique se você instalou e configurou um MID Server.

      Um MID Server em sua instância Now Platform® é necessário para se conectar ao serviço Splunk se o servidor Splunk for implantado em sua rede corporativa. Para obter informações, consulte MID Server.

      Se você estiver usando o serviço em nuvem Splunk Enterprise Security, um MID Server não será necessário.

    5. Verifique se as ServiceNow aplicações principais necessárias para oferecer suporte à integração estão instaladas e ativadas.

      O plug-in Security Incident Response Dependency (com.snc.si_dep) é necessário. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Security Incident Response. Instale e ative este plug-in antes de instalar e ativar as outras aplicações Security Operations necessárias para a integração.

      Verifique se as seguintes Security Operations aplicações estão instaladas e ativadas a partir de ServiceNow Store. Se não estiverem instalados, instale e ative um aplicativo de cada vez na ordem a seguir para garantir uma instalação sem problemas.

      1. Security Incident Response
      2. Security Integration Framework
      3. Security Support Common

      Para obter mais informações sobre como instalar as aplicações principais Security Operations, consulte Obter direito para um produto ou aplicação Security Operations e Ativar uma aplicação ServiceNow Store.

    Você configurou com sucesso sua instância Now Platform® para a integração. A próxima etapa é instalar a aplicação Notable Event Ingestion [ Splunk Enterprise Security do ServiceNow Store para a integração. Para obter mais informações, consulte Instalar e configurar a aplicação ServiceNow para a integração de ingestão de eventos notáveis Splunk Enterprise Security.

    Se você quiser exportar eventos notáveis manualmente e sob demanda do console Splunk Enterprise Security para a integração, consulte Configure seu ambiente Splunk para ingestão manual de eventos para a integração de ingestão de eventos notáveis Splunk Enterprise Security para obter mais informações.