Splunk 통합 구성 및 활성화

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 소요 시간: 2분

    • Splunk 보강 통합은 로그를 검색하고 관련 사이팅 정보를 추가합니다.

    시작하기 전에

    Splunk 검색을 사용하려면 먼저 ServiceNow Store에서 다운로드해야 합니다.

    필요한 역할: sn_sec_tisc.admin

    • Splunk 검색 통합을 사용하려면 먼저 위협 인텔리전스 보안 센터 플러그인을 설치하고 활성화해야 합니다.
    • Splunk를 가져오고 Splunk 검색을 가져와 Splunk 인스턴스에서 API 기준 URL, 링크 URL, 사용자 이름 및 암호를 가져옵니다.

    프로시저

    1. 인스턴스를 사용하여 위협 인텔리전스 보안 센터에 액세스합니다.
    2. 다음에서 통합 다운로드 ServiceNow Store.
    3. 설치가 완료되면 작업 공간 > 위협 인텔리전스 보안 센터.
    4. 선택 통합 > 보강 통합 > 모든 통합.
    5. 또는 다음으로 이동할 수 있습니다. 통합 > 보강 통합 > 모든 통합 > 검색 찾기
      구성된 통합은 일련의 카드로 나타납니다.
    6. Splunk 검색 카드에서 새 보강 구성을 클릭하여 Splunk 검색 통합을 구성합니다.
    7. 새 보강 구성 양식의 필드에 내용을 입력합니다.
      표 1. 보강 통합
      필드 설명
      이름 사이팅 검색 구성의 이름을 입력합니다.
      벤더 이름 벤더의 이름입니다. 선택한 벤더의 세부 정보가 기본적으로 채워집니다. 예: Splunk.
      통합 유형 선택한 통합의 유형입니다. 예를 들어 위협 조회입니다.
      설명 Splunk 통합에 대한 설명을 입력합니다. 예를 들어 Splunk 보강 통합은 Splunk 배포에서 잠재적으로 악의적인 표시기와 관련된 로그 쿼리를 지원함으로써 옵저버블을 조사하는 데 도움이 됩니다.
      통합 구성
      Splunk API 기준 URL Splunk 사이트에서 가져온 기본 URL입니다.
      링크 URL [선택 사항] 사용 가능한 경우 Splunk 웹 인터페이스로 연결되는 링크 URL입니다.
      사용자 이름 인텔 Elasticsearch 사용자 이름입니다.
      암호 인텔 Elasticsearch 암호입니다.
      최대 행 수 검색하려는 최대 행 수입니다.
      가장 빠른 결과(일) 일수 단위로 보려는 가장 빠른 결과입니다.
      검색 결과에 원시 데이터 샘플 포함 사이팅 검색 결과에 원시 데이터 샘플을 포함하려면 이를 선택합니다. 반환되는 데이터의 양은 보안 인시던트 응답 속성의 원시 데이터 속성 행 수에 대한 설정에 따라 다릅니다.
      직접 배포 온-프레미스 배포 환경입니다.
      MID 서버 활성 MID 서버를 사용하려면 임의를 선택하거나 특정 MID 서버 이름을 선택합니다.
      주:
      이 통합을 구성하면 워크플로우가 활성화됩니다. 워크플로우를 관리하려면 워크플로우 편집기로 이동합니다.
    8. 저장을 클릭합니다.
      통합 상세 정보가 확인되고 기본적으로 Splunk 통합 상태가 비활성화됩니다.
    9. 활성화 클릭하여 Splunk 통합을 활성화합니다.

    결과

    구성된 후에는 위협 인텔리전스 보안 센터의 옵저버블에 대해 사이팅 검색을 수행하도록 Splunk를 선택할 수 있습니다.