Configure sua instância Now Platform para a integração Splunk Enterprise Event Ingestion

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • A seção a seguir lista as tarefas de configuração que você deve concluir em sua instância Now Platform® antes de instalar a aplicação do ServiceNow Store.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Consulte a tabela a seguir e verifique se você concluiu todas as tarefas listadas antes de baixar e instalar a aplicação para garantir uma instalação e configuração sem problemas.

    Procedimento

    1. Verifique se você atribuiu as funções Now Platform® e Security Incident Response (SIR) necessárias.

      As funções a seguir são necessárias para a instalação, configuração e uso da integração na sua instância Now Platform®.

      • Um usuário com a função de administrador Now Platform® (admin) instala a aplicação a partir do ServiceNow Store e atribui a função de administrador de incidente de segurança (sn_si.admin).
      • Se você quiser encaminhar eventos manualmente de Splunk Enterprise para esta integração, um usuário com a função de administrador Now Platform® atribuirá um usuário com a função (sn_sec_splunk_v2.api_account_access) no Now Platform®. Esta função permite que um usuário com a função de administrador Splunk Enterprise acesse a API no Now Platform® que é necessário para o encaminhamento manual de eventos para esta integração.

        A função (sn_sec_splunk_v2.api_account_access) não será necessária para a integração se você estiver ingerindo alertas automaticamente de Splunk Enterprise para sua instância Now Platform®.

      • Um usuário com a função sn_si.admin supervisiona as seguintes tarefas no Now Platform®:
        • Nomeia, cria e edita perfis de alerta e evento.
        • Seleciona e mapeia valores de alertas e eventos para Now Platform® incidentes de segurança.
        • Visualiza os detalhes do incidente de segurança para precisão antes de finalizar a configuração.
        • Programa a ingestão de alertas em andamento.
        • Atribui a função de analista de incidente de segurança (sn_si.analyst).
        • Usuários com o sn_si.analyst trabalham com incidentes de segurança.

      Para obter mais informações sobre funções e atribuição de funções a usuários, consulte Managing roles.

    2. Verifique se você está usando a versão 6.0 ou posterior da API Splunk.

      Se você tiver acesso ao console Splunk Enterprise, terá acesso à API necessária para esta integração. Não há nenhuma outra configuração especial necessária para a API.

    3. Verifique se você instalou e configurou um MID Server.

      Um MID Server em sua instância Now Platform® é necessário para se conectar ao serviço Splunk se o servidor Splunk for implantado em sua rede corporativa. Para obter mais informações sobre MID Servers, consulte MID Server.

      Se você estiver usando o serviço Splunk Cloud, um MID Server não será necessário.

    4. Verifique se as ServiceNow aplicações principais necessárias para oferecer suporte à integração estão instaladas e ativadas.

      O plug-in Security Incident Response Dependency (com.snc.si_dep) é necessário. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Security Incident Response. Instale e ative este plug-in antes de instalar e ativar as outras aplicações Security Operations necessárias para a integração.

      Verifique se as seguintes Security Operations aplicações estão instaladas e ativadas a partir de ServiceNow Store. Se não estiverem instalados, instale e ative um aplicativo de cada vez na ordem a seguir para garantir uma instalação sem problemas.

      1. Security Incident Response
      2. Security Integration Framework
      3. Security Support Common
      4. Orquestração de suporte de segurança

      Para obter mais informações sobre como instalar as aplicações principais Security Operations, consulte Obter direito para um produto ou aplicação Security Operations e Ativar uma aplicação ServiceNow Store.

    O que Fazer Depois

    Você configurou com sucesso sua instância Now Platform® para a integração. A próxima etapa é instalar a aplicação [ Splunk Enterprise Event Ingestion de ServiceNow Store para a integração. Para obter mais informações, consulte Instalar e configurar a aplicação ServiceNow para a integração Splunk Enterprise Event Ingestion.

    Se você não salvou pesquisas no console Splunk Enterprise para ingestão ou se estiver executando a configuração inicial desta integração no console Splunk Enterprise e no produto Security Operations da sua instância Now Platform® simultaneamente, consulte Salvar pesquisas no console Splunk Enterprise para a integração Splunk Enterprise Event Ingestion para obter mais informações.

    Se você quiser exportar eventos manualmente e sob demanda do console Splunk Enterprise para a integração, consulte Configure seu ambiente Splunk para ingestão manual de eventos para a integração de ingestão de eventos Splunk Enterprise para obter mais informações.