Configurer votre Splunk environnement pour l’ingestion manuelle d’événements pour l’intégration de l’ingestion d’événements Splunk Enterprise

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 6 minutes de lecture

    • Si vous souhaitez exporter des événements manuellement et à la demande à partir de votre Splunk Enterprise console pour cette intégration, installez et configurez le module complémentaire Security Operations Event Ingestion pour l’application ServiceNow dans Splunk Enterprise votre console d’entreprise ou votre Splunk instance Splunk Cloud.

    Avant de commencer

    Vérifiez que vous avez installé l’application pour cette intégration avant ServiceNow Store d’installer le module d’extension du module d’extension à partir de splunkbase requis pour l’ingestion manuelle d’événements. Si vous n’avez pas installé l’application pour l’intégration à partir de , ServiceNow Storeconsultez Installez et configurez l’application ServiceNow pour l’intégration Splunk Enterprise Event Ingestion et suivez les instructions pour l’installer.

    Rôle requis : Now Platform administrateur (admin)

    Pourquoi et quand exécuter cette tâche

    L’installation et la configuration du ServiceNow module complémentaire d’ingestion d’événements Security Operations sont facultatives.

    Si vous souhaitez exporter des événements manuellement et à la demande à partir de votre Splunk Enterprise console pour l’intégration, téléchargez, installez et configurez le ServiceNow module complémentaire Security Operations Event Ingestion for Splunk Enterprise from splunkbase dans votre Splunk Enterprise console.

    Ce ServiceNow module complémentaire d’extension est nécessaire pour que des incidents de sécurité puissent être créés à partir d’événements exportés manuellement dans votre Now Platform instance. Ce ServiceNow module complémentaire d’ingestion d’événements Security Operations pour Splunk Enterprise l’application est disponible sur splunkbase.

    Pour le transfert manuel d’événements, vous pouvez identifier jusqu’à deux points de terminaison différents Now Platform (instances) dans votre Splunk Enterprise console. Vous transférez manuellement les événements au ou aux points de terminaison pour créer des incidents de sécurité. Par exemple, vous pouvez spécifier à la fois une instance intermédiaire (développement) et une instance de production. En spécifiant des instances distinctes et en nommant les workflows primaire et secondaire pour chaque instance, vous pouvez choisir où vous souhaitez transférer différents événements.

    Procédure

    1. Si vous n’avez pas encore installé le ServiceNow module complémentaire Security Operations Event Ingestion for Splunk Enterprise, procédez comme suit pour l’installer et le configurer.
      1. Accédez à splunkbase.
      2. Recherchez le module complémentaire d’ingestion d’événements ServiceNow Opérations de sécurité Security Operations pour Splunk Enterprise.
        Remarque :
        Vérifiez que vous avez sélectionné ServiceNow Opérations de sécurité le module complémentaire d’ingestion d’événements pour Splunk Enterprise. D’autres ServiceNow modules complémentaires sont affichés dans cette liste. Ces modules complémentaires sont destinés à différentes ServiceNow Splunk intégrations et ne sont pas nécessaires pour cette intégration.
      3. Téléchargez l’application.
      4. Ouvrez votre Splunk Enterprise compte.
      5. Sur la page Applications, cliquez sur l’icône en forme d’engrenage ou sur le raccourci Gérer les applications dans la liste déroulante du menu.
      6. En haut à gauche de la page Applications qui s’affiche, cliquez sur Installer l’application à partir d’un fichier.
      7. Cliquez sur Choisir un fichier, sélectionnez ServiceNow le module complémentaire Security Operations Event Ingestion pour Splunk Enterprise, puis cliquez sur Charger.
      8. Si vous y êtes invité, redémarrez Splunk Enterprise.
        Le ServiceNow module complémentaire Security Operations Event Ingestion for Splunk Enterprise est installé dans votre Splunk Enterprise console d’entreprise. L’étape suivante pour configurer l’addon.
    2. Pour configurer l’additif, procédez comme suit.
      1. Dans Splunk Enterprise, cliquez sur l’icône en forme d’engrenage Applications ou sur Gérer les applications dans la liste déroulante du menu.
      2. Dans la liste des applications qui s’affiche, dans la colonne Actions , cliquez sur Configurer le module complémentaire d’ingestion d’événementsServiceNow Opérations de sécurité pour Splunk Enterprise.
      3. Remplissez le formulaire.
        La figure suivante est un exemple de formulaire rempli dans votre Splunk Enterprise console.
        Formulaire complété avec les paramètres de configuration pour les instances primaire et secondaire ServiceNow
      Champ de la section Spécifier l’instance primaire ServiceNowDescription
      Étiquette de l’action du workflow Nom du workflow de Now Platform votre instance de production (principale). Ce nom est le nom d’une Now Platform instance que les utilisateurs qui surveillent Splunk les événements identifient comme instance primaire, par exemple, ServiceNow Ingestion d’événements (Production).

      La valeur par défaut pour ce champ est Ingestion d’événements ServiceNow (production).

      Dans votre Splunk Enterprise console, ce nom de workflow s’affiche pour l’instance de production (primaire) dans la liste déroulante Actions d’événement développée d’une recherche. Ce nom est le nom de votre instance de production. Vous pouvez modifier le nom.
      URL URL de l’instance Now Platform que vous avez saisie dans le champ d’étiquette Action du workflow précédent.

      Copiez l’URL dans votre navigateur et collez-la dans ce champ du formulaire.
      Point de terminaison Chemin de l’API de base. Pour plus d’informations, reportez-vous à la figure qui suit le tableau.

      Si vous n’avez pas de valeur pour le point de terminaison de votre Now Platform instance de production, procédez comme suit.

      1. Connectez-vous à votre Now Platform instance de production en tant qu’utilisateur avec le rôle d’administrateur système (admin).
      2. Entrez les API REST basées sur un script dans le panneau de navigation.
      3. Une fois le panneau de navigation actualisé, sélectionnez le module API REST scriptées qui s’affiche.
      4. Si l’ingestion d’événements n’est pas répertoriée dans la colonne Nom de la liste des API REST scriptées qui s’affiche, saisissez Ingestion d’événements dans le champ de recherche en haut.
      5. Dans la colonne Chemin de l’API de base de la page actualisée, copiez cette valeur et collez-la dans le champ Point de terminaison du formulaire. Un exemple de chemin d’accès de l’API de base est /api/sn_sec_splunk_v2/event_ingestion.
      Nom d'utilisateur Nom d’utilisateur de votre Now Platform instance. Ce nom est le nom d’utilisateur de l’instance Now Platform dans laquelle vous avez affecté un utilisateur avec le rôle (sn_sec_splunk_v2.api_account_access) pour le transfert manuel d’événements.

      Pour plus d’informations sur l’affectation de ce rôle, reportez-vous à la section Configurer votre Now Platform instance pour l’intégration Splunk Enterprise Event Ingestion.
      Mot de passe Mot de passe de votre Now Platform instance.

      Ce mot de passe est le mot de passe de l’instance Now Platform dans laquelle vous avez affecté à un utilisateur le rôle (sn_sec_splunk_v2.api_account_access) pour le transfert manuel d’événements.
      (Facultatif) Champs de la section Spécifier l’instance secondaire ServiceNow Description

      Ces champs sont facultatifs. Vous n’êtes pas obligé de spécifier une instance secondaire.
      Étiquette de l’action du workflow Nom du workflow de Now Platform votre instance secondaire (intermédiaire). Ce nom est le nom d’une Now Platform instance que vos utilisateurs qui surveillent Splunk les événements identifient comme une instance secondaire, par exemple, ServiceNow Ingestion d’événements (Intermédiaire).

      Dans votre Splunk Enterprise console, ce nom de workflow est affiché pour l’instance intermédiaire (secondaire) dans la liste déroulante Actions d’événement développée d’une recherche. Cette Now Platform instance est votre instance intermédiaire. Vous pouvez modifier le nom.
      URL URL de l’instance Now Platform que vous avez saisie dans le champ Étiquette Action du workflow précédent pour l’instance secondaire Now Platform .

      Copiez l’URL dans votre navigateur et collez-la dans ce champ du formulaire.
      Point de terminaison Chemin de l’API de base. Cette valeur du chemin de l’API de base de votre instance secondaire est la même que celle du chemin de l’API de base de votre instance principale. Voir la figure précédente du formulaire pour plus d’informations.
      Nom d'utilisateur Nom d’utilisateur de votre Now Platform instance intermédiaire. L’utilisateur doit avoir le rôle (sn_sec_splunk_v2.api_account_access).
      Mot de passe Mot de passe de votre Now Platform instance intermédiaire. L’utilisateur doit avoir le rôle (sn_sec_splunk_v2.api_account_access).
      La figure suivante est un exemple de la liste API REST scriptées dans votre Now Platform. La liste affiche l’emplacement de la valeur de point de terminaison d’une Now Platform instance que vous saisissez dans le formulaire dans le cadre de la configuration ServiceNow du module complémentaire Security Operations Event Ingestion for extension dans Splunk Enterprise votre Splunk Enterprise console.
      Figure 1. Liste des API REST scriptées dans Now Platform
      Chemin de l’API de base mis en surbrillance.
    3. Dans le formulaire de configuration de votre Splunk Enterprise console, cliquez sur Enregistrer pour enregistrer vos modifications.

      Après quelques instants, en haut à gauche du formulaire de votre Splunk Enterprise console, un message s’affiche indiquant que l’enregistrement a été mis à jour avec succès.

      Une fois le formulaire enregistré, les noms (étiquettes d’action de workflow) de vos Now Platform instances que vous avez créées dans le formulaire sont disponibles dans la liste de choix Actions d’événement sur un événement sélectionné d’une recherche dans votre Splunk Enterprise console.

    Que faire ensuite

    Si vous n’avez pas encore enregistré les recherches dans votre Splunk Enterprise console, l’étape suivante consiste à enregistrer les recherches sous forme d’alertes dans votre Splunk Enterprise console.