Check-list para a integração Splunk Enterprise Event Ingestion

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Use esta check-list para orientar você em todas as tarefas da integração. A check-list a seguir inclui tarefas de configuração e instalação e exemplos de casos de uso que incluem os resultados esperados para a integração.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Acompanhe seu progresso com a instalação e configuração da integração com a tabela a seguir. Conclua todas as tarefas de uma etapa antes de passar para a próxima. Cada linha da tabela lista as tarefas e identifica as funções necessárias para executar as tarefas. Tópicos numerados do guia de instalação e configuração também são referenciados.

    Funções necessárias: as funções são listadas para cada etapa abaixo.

    Procedimento

    1. Como um usuário com a função de administrador Now Platform, configure sua instância Now Platform.
      • Atribua usuários com as funções sn_si.admin e sn_si.analyst conforme necessário.
      • Instale e configure um MID Server se o servidor Splunk for implantado em sua rede corporativa.
      • Verifique se os plug-ins ServiceNow Security Incident Response estão ativados para sua versão do Now Platform.
      • Se você quiser encaminhar eventos manualmente do console [ Splunk Enterprise para a instância Now Platform, verifique se você atribuiu a função (sn_sec_splunk_v2.api_account_access) a um usuário com a permissão de administrador da empresa Splunk Enterprise.

      Para obter mais informações, consulte Configure sua instância Now Platform para a integração Splunk Enterprise Event Ingestion.

      Você concluiu com sucesso as etapas de configuração e verificou os resultados esperados para a integração.
    2. Como um usuário com a função de administrador Now Platform, instale e configure a aplicação Splunk Enterprise Event Ingestion do ServiceNow Store.
      1. Baixe e instale a aplicação na sua instância Now Platform.
      2. Configure a aplicação e conecte ao seu console Splunk Enterprise.

      Para obter mais informações, consulte Instalar e configurar a aplicação ServiceNow para a integração Splunk Enterprise Event Ingestion.

    3. Opcional: Se você pretende exportar eventos manualmente do console [ Splunk Enterprise para a instância Now Platform, execute as seguintes tarefas:
      1. Como administrador Splunk Enterprise, instale, configure e habilite o ServiceNow Complemento de ingestão de eventos do Security Operations para Splunk Enterprise do splunkbase no console do Splunk Enterprise.
      2. Como administrador Splunk Enterprise, se ainda não estiver configurado, salve pesquisas como alertas no console Splunk Enterprise.

        Para obter mais informações, consulte Configure seu ambiente Splunk para ingestão manual de eventos para a integração de ingestão de eventos Splunk Enterprise e Salvar pesquisas no console Splunk Enterprise para a integração Splunk Enterprise Event Ingestion.

    4. Como um usuário com a função Now Platform sn_si.admin, crie e nomeie um perfil de evento.

      Selecione o tipo de perfil na lista de seleção. As opções são um perfil de alerta programado que você usa para ingerir dados de amostra ou um perfil de evento que você usa para exportar dados de anexo manualmente do seu console Splunk Enterprise.

      • Para um alerta programado, selecione um alerta disponível.
      • Para o perfil de dados exportados manualmente, crie um novo mapa ou copie um mapa existente.

      Para obter mais informações, consulte Criar e nomear um perfil de evento para a integração Splunk Enterprise Event Ingestion.

    5. Como um usuário com a função Now Platform sn_si.admin, mapeie valores ingeridos ou dados de anexo que são exportados de Splunk Enterprise para Now Platform incidentes de segurança.
      1. Buscar dados de amostra para um alerta programado.
      2. Exporte dados de anexo manualmente de Splunk Enterprise para um evento.
      3. Edite a configuração de mapeamento padrão.
      4. Opcionalmente, adicione critérios de filtragem, anexe um alerta a um incidente de segurança existente e use o editor de script.

      Para obter mais informações, consulteMapeamento de alertas e eventos para a integração Splunk Enterprise Event Ingestion e Mapear alertas para a integração Splunk Enterprise Event Ingestion.

    6. Como um usuário com a função Now Platform sn_si.admin, visualize os dados de Splunk Enterprise que são exibidos em um incidente de segurança Now Platform.

      Corrija erros ou adicione dados ausentes para que nenhuma mensagem de erro seja exibida.

      Para obter mais informações, consulte Visualizar o incidente de segurança para a integração Splunk Enterprise Event Ingestion.

    7. Como um usuário com a função Now Platform sn_si.admin, programe a recuperação de alerta para um perfil com um alerta programado.

      Para obter mais informações, consulte Programar e recuperar alertas para a integração Splunk Enterprise Event Ingestion.