에서 TISC 추가 기능 구성 Splunk

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기5분

    • 아래 절차에 따라 애플리케이션을 구성합니다.

    시작하기 전에

    필요한 역할: Splunk 관리자

    이 태스크 정보

    아래 절차에서는 의 TISC 추가 기능 Splunk구성에 대해 설명합니다.

    프로시저

    1. 왼쪽 탐색 창에서 Threat Intelligence Security Center for Splunk 앱을 검색합니다.
    2. 작업 열 아래에서 설정을 클릭합니다.
      구성 페이지가 표시되며 TISC 계정을 설정할 수 있습니다ServiceNow.
    3. 추가를 선택합니다.
    4. 양식의 필드에 내용을 입력합니다.
      필드 설명
      계정 추가
      이름 계정의 고유한 이름입니다.
      사용자 이름 계정 ServiceNow 사용자 이름을 입력합니다. 위 단계에서 역할 생성 중에 생성된 사용자에 사용되는 것과 동일한 사용자 이름을 사용할 수 sn_sec_tisc.api_obs_read_access .
      암호 계정 암호를 제공하십시오 ServiceNow .
      인스턴스 URL ServiceNow 인스턴스 URL 주소를 제공합니다.
    5. 추가를 클릭합니다.
      ServiceNow 인스턴스 계정이 Splunk.
    6. 입력 페이지로 이동하여 컬렉션을 생성하고 계정에 대한 ServiceNow 데이터 입력을 관리합니다.
    7. 새 입력 생성을 클릭합니다.
      계정에 입력을 ServiceNow 추가할 수 있는 입력 추가 대화 상자가 표시됩니다.

      입력 세트가 정의되면 애플리케이션은 TISC 인스턴스에 정보를 전송하여 기준을 충족하는 특정 수의 옵저버블을 검색합니다.

    8. 입력 상세 정보를 적절하게 입력합니다.
      필드 설명
      이름 입력의 고유 이름입니다. 예를 들어 악성 IP 목록입니다.
      계정 계정 ServiceNow 사용자 이름을 입력합니다. 위 단계에서 sn_sec_tisc.api_obs_read_access 역할로 만든 사용자에게 사용되는 것과 동일한 사용자 이름을 사용할 수 있습니다.
      간격 TISC에서 데이터를 검색할 시간 간격(초)을 설정합니다.
      만료 기간(일) 만료 기간을 일 단위로 설정하는 옵션입니다.
      주:
      샘플 만료는 30일로 설정됩니다. 예를 들어 특정 날짜에 데이터를 끌어오면 10,000개의 기록 세트를 검색할 수 있습니다. 이러한 레코드는 내의 KV(키-값) 저장소에 Splunk저장됩니다. 수집된 날짜로부터 기록은 30일 동안 보존됩니다. 31일째 되는 날에는 KV 저장소에서 자동으로 삭제됩니다.
      만료되지 않음 수집된 기록을 만료하지 않으려면 이 옵션을 선택합니다.
      필터 임포트할 조건을 정의하면 데이터가 필터링됩니다.

      필터 조건을 설정하기 위해 위협 점수, 신뢰도 수준 및 유형과 같은 필드를 기반으로 기준을 정의할 수 있습니다.

      단순 필터 조건의 경우 이 필터링 옵션을 사용할 수 있습니다. 그러나 필터 조건이 더 복잡하고 고급 필터링의 경우 JSON 필터를 추가하도록 선택할 수 있습니다.
      • 허용되는 정수 연산자는 다음과 같습니다.

        "=", "!=", ">", "<", ">=", "<="

      • 허용되는 문자열 연산자는 다음과 같습니다.

        "=", "!=", "IN"

      다음은 간단한 필터의 예입니다.

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON JSON 기반 필터를 사용하면 보다 복잡한 조건을 정의할 수 있습니다. JSON 객체의 상태는 활성 상태여야 합니다.

      JSON을 사용하여 필터 조건을 적용할 수 있는 고급 필터로 전환하려면 JSON 필터 확인란을 선택합니다.

      샘플 고급 필터:

      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      주:
      계정은 기본적으로 활성 상태이지만 입력은 기본적으로 비활성 상태입니다. 데이터 임포트를 시작하려면 계정을 활성화해야 합니다. 가능한 필터는 위협 인텔리전스 보안 센터(TISC) 애플리케이션에 옵저버블 소스 기록 추가 의 Observable_filters 섹션을 참조하십시오.
    9. 추가를 클릭하여 입력을 추가합니다.
    10. 클론 또는 복사를 클릭하여 기존 계정을 기반으로 새 계정을 복사하고 생성합니다.
      동일한 기준을 사용하여 데이터를 임포트할 때 중복 항목이 작성되지 않도록 복제하기 전에 입력이 비활성화되었는지 확인하십시오.
    11. 데이터를 가져오면 다음 정보가 검색되어 TISC에서 가져온 기록과 함께 KV Splunk 저장소에 저장됩니다.
      필드 설명
      위협 점수 기록과 연결된 위협 수준을 나타내는 점수입니다.
      신뢰도 위협 점수의 정확도와 연결된 신뢰도 수준을 나타냅니다.
      만료 기간 기록이 만료되기 전에 애플리케이션에서 유효한 기간입니다.
      위협 수준 위협의 심각도 수준을 나타냅니다.
      평판 관련된 엔터티의 평판을 나타냅니다.
      업데이트한 사람 기록을 마지막으로 업데이트한 사람에 대한 정보를 제공합니다.
      업데이트된 시간 기록이 마지막으로 업데이트된 타임 스탬프를 나타냅니다.
      만든 시간 기록 생성 시간을 나타냅니다.
      Days_till_expiry KV 저장소에서 기록이 삭제되기까지의 일 수를 나타냅니다.
      Source_reported_score TISC에서 보고된 소스 점수입니다.
      Sys_id TISC를 통해 들어오는 기록의 시스템 ID입니다.
      위협 심각성 옵저버블의 위협 심각도를 나타냅니다.
      기록의 값입니다. 예를 들어 IP, 해시 등이 있습니다.

      이러한 필드는 기준에 정의된 다른 필드와 함께 검색 탭에서 Splunk 사용할 수 있으며 검색 탭을 통해 보고, 검색하고, 분석할 수 있습니다.