Configure seu ambiente Splunk para ingestão manual de eventos para a integração de ingestão de eventos Splunk Enterprise

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 6 min. de leitura

    • Se você quiser exportar eventos manualmente e sob demanda do console Splunk Enterprise para esta integração, instale e configure o complemento ServiceNow Security Operations Event Ingestion para a aplicação SplunkSplunk Enterprise no console empresarial [] ou na instância do Splunk Cloud.

    Antes de Iniciar

    Verifique se você instalou a aplicação para esta integração do ServiceNow Store antes de instalar o plug-in de complemento do splunkbase que é necessário para a ingestão manual de eventos. Se você não instalou a aplicação para a integração de ServiceNow Store, consulte Instalar e configurar a aplicação ServiceNow para a integração Splunk Enterprise Event Ingestion e siga as instruções para instalá-la.

    Função necessária: Now Platform administrador (admin)

    Por Que e Quando Desempenhar Esta Tarefa

    A instalação e a configuração do ServiceNow Security Operations Event Ingestion Addon são opcionais.

    Se você quiser exportar eventos manualmente e sob demanda do console Splunk Enterprise para a integração, baixe, instale e configure o ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise do splunkbase no console Splunk Enterprise.

    Este ServiceNow complemento de extensão é necessário para que incidentes de segurança possam ser criados a partir de eventos exportados manualmente em sua instância Now Platform. Este ServiceNow Complemento de ingestão de eventos das Operações de segurança para a aplicação Splunk Enterprise está disponível em splunkbase.

    Para o encaminhamento manual de eventos, você pode identificar até dois Now Platform endpoints (instâncias) diferentes no console Splunk Enterprise. Você encaminha os eventos para o endpoint ou endpoints manualmente para criar incidentes de segurança. Por exemplo, você pode especificar uma instância de preparação (desenvolvimento) e uma instância de produção. Ao especificar instâncias separadas e nomear fluxos de trabalho primários e secundários para cada instância, você pode escolher para onde deseja encaminhar eventos diferentes.

    Procedimento

    1. Se você ainda não instalou o ServiceNow Security Operations Event Ingestion Addon para Splunk Enterprise, siga estas etapas para instalá-lo e configurá-lo.
      1. Navegue até splunkbase.
      2. Pesquise o ServiceNow Operações de segurança Complemento de ingestão de eventos das Operações de segurança para Splunk Enterprise.
        Nota:
        Verifique se você selecionou ServiceNow Operações de segurança Complemento de ingestão de eventos para Splunk Enterprise. Há complementos ServiceNow adicionais que são exibidos nesta lista. Esses complementos são para diferentes ServiceNow Splunk integrações e não são necessários para esta integração.
      3. Baixe a aplicação.
      4. Abra sua conta Splunk Enterprise.
      5. Na página Aplicações, clique no ícone de engrenagem ou no atalho Gerenciar aplicações na lista suspensa do menu.
      6. No canto superior esquerdo da página Aplicações exibida, clique em Instalar app a partir do arquivo.
      7. Clique em Escolher arquivo, selecione ServiceNow Complemento de ingestão de eventos das Operações de segurança para Splunk Enterprisee clique em Carregar.
      8. Se solicitado, reinicie Splunk Enterprise.
        O ServiceNow Security Operations Event Ingestion Addon para Splunk Enterprise está instalado no console do Enterprise Splunk Enterprise. A próxima etapa para configurar o complemento.
    2. Para configurar o complemento, siga estas etapas.
      1. Em Splunk Enterprise, clique no ícone de engrenagem de aplicações ou em Gerenciar aplicações na lista suspensa do menu.
      2. Na lista de aplicações exibida, na coluna Ações, clique em Configurar para ServiceNow Operações de segurança Complemento de ingestão de eventos para Splunk Enterprise.
      3. Preencha o formulário.
        A figura a seguir é um exemplo de um formulário preenchido no console do Splunk Enterprise.
        Formulário preenchido com definições de configuração para instâncias primárias e secundárias da ServiceNow
      Campo na seção Especificar instância primária da ServiceNowDescrição
      Rótulo de ação de fluxo de trabalho Nome do fluxo de trabalho Now Platform para sua instância de produção (primária). Este nome é o nome de uma instância Now Platform que os usuários que estão monitorando eventos Splunk identificam como uma instância primária, por exemplo, ingestão de eventos da ServiceNow (produção).

      O padrão para este campo é Ingestão de eventos da ServiceNow (produção).

      No console Splunk Enterprise, este nome de fluxo de trabalho é exibido para a instância de produção (primária) na lista suspensa Ações de evento expandidas de uma pesquisa. Este nome é o nome da sua instância de produção. Você pode editar o nome.
      URL O URL da instância Now Platform que você inseriu no campo de rótulo de ação de fluxo de trabalho anterior.

      Copie o URL no navegador e cole-o neste campo do formulário.
      Endpoint Caminho da API base. Para obter mais informações, consulte a figura que segue a tabela.

      Se você não tiver um valor para o endpoint da sua instância de produção Now Platform, siga estas etapas.

      1. Faça login na sua instância de produção Now Platform como um usuário com a função de administrador do sistema (admin).
      2. Insira Scripted REST APIs no painel de navegação.
      3. Depois que o painel de navegação for atualizado, selecione o módulo Scripted REST APIs que será exibido.
      4. Se a Ingestão de eventos não estiver listada na coluna Nome da lista de Scripted REST APIs exibida, no campo de pesquisa na parte superior, insira Ingestão de eventos.
      5. Na coluna Caminho da API base na página atualizada, copie este valor e cole-o no campo Endpoint do formulário. Um exemplo de caminho de API base é /api/sn_sec_splunk_v2/event_ingestion.
      Nome de usuário Nome de usuário para sua instância Now Platform. Este nome é o nome de usuário da instância Now Platform na qual você atribuiu um usuário com a função (sn_sec_splunk_v2.api_account_access) para encaminhamento manual de eventos.

      Para obter mais informações sobre como atribuir essa função, consulte Configure sua instância Now Platform para a integração Splunk Enterprise Event Ingestion.
      Senha Senha para sua instância Now Platform.

      Esta senha é a senha para a instância Now Platform na qual você atribuiu um usuário com a função (sn_sec_splunk_v2.api_account_access) para encaminhamento manual de eventos.
      (Opcional) Campos na seção Especificar instância secundária da ServiceNow Descrição

      Esses campos são opcionais. Você não é obrigado a especificar uma instância secundária.
      Rótulo de ação de fluxo de trabalho Nome do fluxo de trabalho Now Platform para sua instância secundária (preparação). Este nome é o nome de uma instância Now Platform que os usuários que estão monitorando eventos Splunk identificam como uma instância secundária, por exemplo, ServiceNow ingestão de eventos (preparação).

      No console Splunk Enterprise, este nome de fluxo de trabalho é exibido para a instância de preparação (secundária) na lista suspensa Ações de evento expandidas de uma pesquisa. Esta instância Now Platform é sua instância de preparação. Você pode editar o nome.
      URL O URL da instância Now Platform que você inseriu no campo de rótulo de ação de fluxo de trabalho anterior para a instância Now Platform secundária.

      Copie o URL no navegador e cole-o neste campo do formulário.
      Endpoint Caminho da API base. Este valor para o caminho da API de base para sua instância secundária é o mesmo valor que o caminho da API de base para sua instância primária. Consulte a figura anterior do formulário para obter mais informações.
      Nome de usuário Nome de usuário da sua instância de preparação Now Platform. O usuário deve ter a função (sn_sec_splunk_v2.api_account_access).
      Senha Senha para sua instância de preparação Now Platform. O usuário deve ter a função (sn_sec_splunk_v2.api_account_access).
      A figura a seguir é um exemplo da lista de Scripted REST APIs em seu Now Platform. A lista exibe o local do valor do endpoint de uma instância Now Platform que você insere no formulário como parte da configuração da extensão ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise no console Splunk Enterprise.
      Figura 1. Lista de Scripted REST APIs na Now Platform
      Caminho da API base realçado.
    3. No formulário de configuração do console Splunk Enterprise, clique em Salvar para salvar suas edições.

      Depois de alguns momentos, na parte superior esquerda do formulário no console Splunk Enterprise, será exibida uma mensagem informando que o registro foi atualizado com sucesso.

      Depois de salvar o formulário, os nomes (rótulos de ação de fluxo de trabalho) das instâncias Now Platform que você criou no formulário ficam disponíveis na lista de seleção Ações de evento em um evento selecionado de uma pesquisa no console Splunk Enterprise.

    O que Fazer Depois

    Se você ainda não salvou as pesquisas no console Splunk Enterprise, a próxima etapa é salvar pesquisas como alertas no console Splunk Enterprise.