Splunk Enterprise Event Ingestion 統合のチェックリスト

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • このチェックリストを使用して、統合のすべてのタスクをガイドします。次のチェックリストには、セットアップとインストールのタスク、および統合の予想される結果を含むユースケースの例が含まれています。

    始める前に

    必要なロール:admin

    このタスクについて

    次のテーブルを使用して、統合のセットアップ、インストール、および構成の進捗状況を追跡します。次のステップに進む前に、ステップのすべてのタスクを完了してください。テーブルの各行にタスクがリストされており、タスクの実行に必要なロールが特定されています。インストールおよび構成ガイドの番号付けされたトピックも参照されます。

    必要なロール:ロールは次の各ステップに記載されています。

    手順

    1. Now Platform アドミンロールを持つユーザーとして、Now Platform インスタンスを設定します。
      • 必要に応じて、sn_si.admin ロールと sn_si.analyst ロールをユーザーにアサインします。
      • Splunk サーバーが企業ネットワーク内に展開されている場合は、MID サーバーをインストールして構成します。
      • ServiceNow セキュリティインシデントレスポンス プラグインが Now Platform のリリースに対して有効になっていることを確認します。
      • Splunk Enterprise コンソールから Now Platform インスタンスに手動でイベントを転送する場合は、Splunk Enterprise エンタープライズアドミン権限を持つユーザーに (sn_sec_splunk_v2.api_account_access) ロールが割り当てられていることを確認します。

      詳細については、「Splunk Enterprise Event Ingestion 統合での Now Platform インスタンスの設定」を参照してください。

      これでセットアップ手順を完了し、統合に期待される結果を検証できました。
    2. Now Platform アドミンロールを持つユーザーとして、ServiceNow Store から Splunk Enterprise Event Ingestion アプリケーションをインストールして設定します。
      1. Now Platform インスタンスにアプリケーションがダウンロードされ、インストールされます。
      2. アプリケーションを設定し、Splunk Enterprise コンソールに接続します。

      詳細については、「Splunk Enterprise Event Ingestion 統合用の ServiceNow アプリケーションのインストールと設定」を参照してください。

    3. オプション: Splunk Enterprise コンソールから Now Platform インスタンスにイベントを手動でエクスポートする場合は、次のタスクを実行します。
      1. Splunk Enterprise アドミニストレーターは、Splunk Enterprise コンソールで splunkbase から ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise をインストールして設定し、有効にします。
      2. Splunk Enterprise アドミニストレーターとして、まだ設定されていない場合は、Splunk Enterprise コンソールに検索をアラートとして保存します。

        詳細については、「Splunk Enterprise イベントの取り込み統合での手動イベント取り込み用の Splunk 環境設定」と「Splunk Enterprise Event Ingestion 統合での Splunk Enterprise コンソールへの検索の保存」を参照してください。

    4. Now Platform sn_si.admin ロールを持つユーザーとして、イベントプロファイルを作成して名前を付けます。

      選択リストからプロファイルタイプを選択します。オプションは、サンプルデータを取り込むために使用するスケジュール済みアラートプロファイル、または Splunk Enterprise コンソールから手動で添付ファイルデータをエクスポートするために使用するイベントプロファイルです。

      • スケジュール済みアラートの場合は、利用可能なアラートを選択します。
      • 手動でエクスポートされたデータのプロファイルの場合は、新しいマップを作成するか、既存のマップをコピーします。

      詳細については、「Splunk Enterprise Event Ingestion 統合でのイベントプロファイルの作成と名前の設定」を参照してください。

    5. Now Platform sn_si.admin ロールを持つユーザーとして、取り込まれた値またはエクスポートされた添付ファイルデータを Splunk Enterprise から Now Platform セキュリティインシデントにマップします。
      1. スケジュール済みアラートのサンプルデータをフェッチします。
      2. イベントの添付ファイルデータを Splunk Enterprise から手動でエクスポートします。
      3. デフォルトのマッピング構成を編集します。
      4. 必要に応じて、フィルター条件を追加し、既存のセキュリティインシデントにアラートを追加し、スクリプトエディターを使用します。

      詳細については、「Splunk Enterprise Event Ingestion 統合のアラートとイベントのマッピング」と「Splunk Enterprise Event Ingestion 統合でのアラートのマッピング」を参照してください。

    6. Now Platform sn_si.admin ロールを持つユーザーとして、Now Platform セキュリティインシデントに表示される Splunk Enterprise のデータをプレビューします。

      エラーを修正するか、不足しているデータを追加して、エラーメッセージが表示されないようにします。

      詳細については、「Splunk Enterprise Event Ingestion 統合でのセキュリティインシデントのプレビュー」を参照してください。

    7. Now Platform sn_si.admin ロールを持つユーザーとして、スケジュール済みアラートを使用してプロファイルのアラート取得をスケジュールします。

      詳細については、「Splunk Enterprise Event Ingestion 統合でのアラートのスケジュールおよび取得」を参照してください。