Check-list para a integração Splunk Enterprise Event Ingestion

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Use esta check-list para se orientar em todas as tarefas da integração. A check-list a seguir inclui tarefas de configuração e instalação e exemplos de casos de uso que incluem os resultados esperados para a integração.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Acompanhe o andamento da configuração, instalação e configuração da integração com a tabela a seguir. Conclua todas as tarefas de uma etapa antes de passar para a próxima. Cada linha da tabela lista as tarefas e identifica as funções necessárias para executar as tarefas. Tópicos numerados do guia de instalação e configuração também são referenciados.

    Funções necessárias: as funções estão listadas para cada etapa abaixo.

    Procedimento

    1. Como um usuário com a função de administrador Now Platform, configure sua instância Now Platform.
      • Atribua usuários com as funções sn_si.admin e sn_si.analyst conforme necessário.
      • Instale e configure um MID Server se o servidor Splunk estiver implantado em sua rede corporativa.
      • Verifique se os plug-ins ServiceNow Resposta a incidentes de segurança estão ativados para a versão do Now Platform.
      • Se você quiser encaminhar eventos manualmente do console Splunk Enterprise para a instância Now Platform, verifique se atribuiu a função (sn_sec_splunk_v2.api_account_access) a um usuário com a permissão de administrador empresarial Splunk Enterprise.

      Para obter mais informações, consulte Configure sua instância Now Platform para a integração Splunk Enterprise Event Ingestion.

      Você concluiu com sucesso as etapas de configuração e verificou os resultados esperados para a integração.
    2. Como um usuário com a função de administrador Now Platform, instale e configure a aplicação Splunk Enterprise Event Ingestion a partir do ServiceNow Store.
      1. Baixe e instale a aplicação em sua instância Now Platform.
      2. Configure a aplicação e conecte-se ao console Splunk Enterprise.

      Para obter mais informações, consulte Instalar e configurar a aplicação ServiceNow para a integração Splunk Enterprise Event Ingestion.

    3. Opcional: Se você pretende exportar eventos manualmente do console Splunk Enterprise para a instância Now Platform, execute as seguintes tarefas:
      1. Como um administrador Splunk Enterprise, instale, configure e habilite o ServiceNow Security Operations Event Ingestion Addon para Splunk Enterprise do splunkbase no console Splunk Enterprise.
      2. Como um administrador Splunk Enterprise, se ainda não estiver configurado, salve as pesquisas como alertas no console do Splunk Enterprise.

        Para obter mais informações, consulte Configure seu ambiente Splunk para ingestão manual de eventos para a integração de ingestão de eventos Splunk Enterprise e Salvar pesquisas no console Splunk Enterprise para a integração Splunk Enterprise Event Ingestion.

    4. Como um usuário com a função Now Platform sn_si.admin, crie e nomeie um perfil de evento.

      Selecione o tipo de perfil na lista de seleção. As opções são um perfil de alerta programado que você usa para ingerir dados de amostra ou um perfil de evento que você usa para exportar dados de anexo manualmente do console Splunk Enterprise.

      • Para um alerta programado, selecione um alerta disponível.
      • Para o perfil de dados exportados manualmente, crie um novo mapa ou copie um mapa existente.

      Para obter mais informações, consulte Criar e nomear um perfil de evento para a integração Splunk Enterprise Event Ingestion.

    5. Como um usuário com a função Now Platform sn_si.admin, mapeie valores ingeridos ou dados de anexo que são exportados de Splunk Enterprise para Now Platform incidentes de segurança.
      1. Buscar dados de amostra para um alerta programado.
      2. Exporte dados de anexo manualmente de Splunk Enterprise para um evento.
      3. Edite a configuração de mapeamento padrão.
      4. Opcionalmente, adicione critérios de filtragem, anexe um alerta a um incidente de segurança existente e use o editor de script.

      Para obter mais informações, consulteMapeamento de alertas e eventos para a integração Splunk Enterprise Event Ingestion e Mapear alertas para a integração Splunk Enterprise Event Ingestion.

    6. Como um usuário com a função Now Platform sn_si.admin, visualize os dados de Splunk Enterprise que são exibidos em um incidente de segurança Now Platform.

      Corrija quaisquer erros ou adicione dados ausentes para que nenhuma mensagem de erro seja exibida.

      Para obter mais informações, consulte Visualizar o incidente de segurança da integração Splunk Enterprise Event Ingestion.

    7. Como um usuário com a função Now Platform sn_si.admin, programe a recuperação de alertas para um perfil com um alerta programado.

      Para obter mais informações, consulte Programar e recuperar alertas para a integração Splunk Enterprise Event Ingestion.