인시던트나 이벤트가 생성되는 인스턴스를 설정하거나 변경합니다

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기7분

    • 새 보안 인시던트 및 보안 이벤트가 생성되는 인스턴스를 설정하거나 변경하려면 ServiceNow 애플리케이션 목록에서 설정 작업을 사용합니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. Splunk를 엽니다.
    2. 톱니바퀴 아이콘 또는 앱 관리 바로 가기 메뉴 항목을 클릭합니다.
    3. 애플리케이션 목록에서 필터를 사용하여 ServiceNow 앱을 검색합니다.
    4. ServiceNow Security Operations 통합을 찾아 해당 설정 작업을 클릭합니다.
    5. 양식의 필드에 내용을 입력합니다.
      필드설명
      ServiceNow 서버 지정  
      URL 콘솔 또는 Splunk Cloud 인스턴스의 URL입니다Splunk Enterprise Security. URL에는 API 포트가 포함되어야 합니다. 예: https://mysplunkserver.com:8089
      인증 유형 인증 유형을 선택하는 옵션입니다. 기본 인증 또는 OAuth 2.0 인증을 선택할 수 있습니다.
      • 구성에 API 계정 사용자 이름 및 API 암호를 사용하는 경우 기본 인증확인란을 활성화합니다.

        기본값은 disabled입니다.

      • 구성에 OAuth 2.0 인증을 사용하는 경우 OAuth 2.0 인증 확인란을 활성화합니다.

        기본값은 disabled입니다.
      기본 인증  
      사용자 이름 콘솔에서 Splunk Enterprise Security API 사용자 계정에 대해 생성한 사용자 이름입니다.
      암호 콘솔에서 API 사용자 계정에 대해 생성한 암호입니다 Splunk Enterprise Security .
      암호 확인 확인을 위해 비밀번호를 입력하십시오.
      OAuth 2.0 인증  
      클라이언트 ID ServiceNow 서버에서 작성된 앱의 클라이언트 ID입니다.
      클라이언트 비밀 ServiceNow 서버에서 작성된 앱의 클라이언트 비밀입니다.
      리디렉션 URL 리디렉션될 대상 URL입니다. 이 URL을 복사하여 ServiceNow 레지스트리 리디렉션 URL에 붙여넣을 수 있습니다.
      선택적 프록시  
      프록시 URL 콘솔 또는 Splunk Cloud 인스턴스의 프록시 URL입니다Splunk Enterprise Security.
      포트 포트의 주소입니다.
      사용자 이름 콘솔에서 Splunk Enterprise Security 프록시 계정에 대해 생성한 사용자 이름입니다.
      암호 콘솔에서 프록시 계정에 대해 생성한 암호입니다 Splunk Enterprise Security .
      암호 확인 확인을 위해 비밀번호를 입력하십시오.
      로깅 수준 설정  
      로깅 수준 통합으로 인해 생성된 보고 로그의 수준으로, 정보 유형의 이름입니다. 값을 다음 옵션으로 업데이트할 수도 있습니다.
      • 정보
      • 오류
      • 경고
      • debug

      기본적으로 값은 정보입니다.
      API 선택  
      API 선택 다음 API 중 하나를 선택합니다.
      • 테이블 API
      • 임포트 세트 API

      Splunk에 설정된 ServiceNow Security Operations 통합

    6. 저장을 클릭합니다.
    7. 또는 ServiceNow 이벤트 수집 통합을 찾아 해당 설정 작업을 클릭합니다.
      ServiceNow 이벤트 수집 통합은 세 개의 서로 다른 탭으로 구성됩니다.
      • * Splunk 기본: 기본 또는 기본 Splunk 구성입니다.
      • * Splunk 보조: (선택 사항) 백업 또는 두 번째 Splunk 구성입니다.
      • 로깅 수준: 통합에 의해 생성된 보고 로그의 수준으로, 정보 유형의 이름을 의미합니다.
    8. Splunk 기본 탭을 선택합니다.
    9. 양식의 필드에 내용을 입력합니다.
      필드설명
      워크플로우 작업 레이블

      통합에 Splunk Enterprise Security 사용되는 기본 콘솔 또는 Splunk Cloud 기본 인스턴스의 이름입니다.

      이름에 공백은 지원되지만 괄호는 지원되지 않습니다. 예를 들어 SplunkES2를 입력합니다.
      URL 기본 콘솔 또는 기본 인스턴스의 URL입니다 Splunk Enterprise SecuritySplunk Cloud . URL에는 API 포트가 포함되어야 합니다. 예: https://mysplunkserver.com:8089
      엔드포인트 기본 콘솔 또는 기본 인스턴스에 대한 엔드포인트입니다 Splunk Enterprise SecuritySplunk Cloud .
      인증 유형 인증 유형을 선택하는 옵션입니다. 기본 인증 또는 OAuth 2.0 인증을 선택할 수 있습니다.
      • 구성에 API 계정 사용자 이름 및 API 암호를 사용하는 경우 기본 인증확인란을 활성화합니다.

        기본값은 disabled입니다.

      • 구성에 OAuth 2.0 인증을 사용하는 경우 OAuth 2.0 인증 확인란을 활성화합니다.

        기본값은 disabled입니다.
      기본 인증  
      사용자 이름 콘솔에서 Splunk Enterprise Security API 사용자 계정에 대해 생성한 사용자 이름입니다.
      암호 콘솔에서 API 사용자 계정에 대해 생성한 암호입니다 Splunk Enterprise Security .
      암호 확인 확인을 위해 비밀번호를 입력하십시오.
      OAuth 2.0 인증  
      클라이언트 ID ServiceNow 서버에서 작성된 앱의 클라이언트 ID입니다. 클라이언트 ID를 가져오는 방법에 대한 자세한 내용은 다음을 참조하십시오. ServiceNow 인스턴스에서 Application Registry 구성
      클라이언트 비밀 서버에서 작성된 앱의 클라이언트 비밀입니다. 클라이언트 암호를 가져오는 방법에 대한 자세한 내용은 다음을 참조하세요. ServiceNow 인스턴스에서 Application Registry 구성
      리디렉션 URL 리디렉션될 대상 URL입니다. 이 URL을 복사하여 ServiceNow 레지스트리 리디렉션 URL에 붙여넣을 수 있습니다. 자세한 내용은 ServiceNow 인스턴스에서 Application Registry 구성 문서를 참조하십시오.
      선택적 프록시 설정  
      프록시 URL 보조 콘솔 또는 Splunk Cloud 보조 인스턴스의 프록시 URL입니다Splunk Enterprise Security.
      포트 포트의 주소입니다.
      사용자 이름 보조 콘솔에서 프록시 계정에 Splunk Enterprise Security 대해 생성한 사용자 이름입니다.
      암호 보조 콘솔에서 프록시 계정에 대해 생성한 암호입니다 Splunk Enterprise Security .
      암호 확인 확인을 위해 비밀번호를 입력하십시오.

      Splunk에 ServiceNow 이벤트 수집 통합 설정

    10. 옵션: Splunk 보조 탭을 선택합니다.
    11. 옵션: 양식의 필드에 내용을 입력합니다.
      필드설명
      워크플로우 작업 레이블

      통합에 Splunk Enterprise Security 사용되는 보조 콘솔 또는 Splunk Cloud 보조 인스턴스의 이름입니다.

      이름에 공백은 지원되지만 괄호는 지원되지 않습니다. 예를 들어 SplunkES2를 입력합니다.
      URL 보조 콘솔 또는 Splunk Cloud 보조 인스턴스의 URL입니다Splunk Enterprise Security. URL에는 API 포트가 포함되어야 합니다. 예: https://mysplunkserver.com:8089
      엔드포인트 보조 콘솔 또는 Splunk Cloud 보조 인스턴스에 대한 엔드포인트입니다Splunk Enterprise Security.
      인증 유형 인증 유형을 선택하는 옵션입니다. 기본 인증 또는 OAuth 2.0 인증을 선택할 수 있습니다.
      • 구성에 API 계정 사용자 이름 및 API 암호를 사용하는 경우 기본 인증확인란을 활성화합니다.

        기본값은 disabled입니다.

      • 구성에 OAuth 2.0 인증을 사용하는 경우 OAuth 2.0 인증 확인란을 활성화합니다.

        기본값은 disabled입니다.
      기본 인증  
      사용자 이름 콘솔에서 Splunk Enterprise Security API 사용자 계정에 대해 생성한 사용자 이름입니다.
      암호 콘솔에서 API 사용자 계정에 대해 생성한 암호입니다 Splunk Enterprise Security .
      암호 확인 확인을 위해 비밀번호를 입력하십시오.
      OAuth 2.0 인증  
      클라이언트 ID ServiceNow 서버에서 작성된 앱의 클라이언트 ID입니다.
      클라이언트 비밀 ServiceNow 서버에서 작성된 앱의 클라이언트 비밀입니다.
      리디렉션 URL 리디렉션될 대상 URL입니다. 이 URL을 복사하여 ServiceNow 레지스트리 리디렉션 URL에 붙여넣을 수 있습니다.
      선택적 프록시 설정  
      프록시 URL 보조 콘솔 또는 Splunk Cloud 보조 인스턴스의 프록시 URL입니다Splunk Enterprise Security.
      포트 포트의 주소입니다.
      사용자 이름 보조 콘솔에서 프록시 계정에 Splunk Enterprise Security 대해 생성한 사용자 이름입니다.
      암호 보조 콘솔에서 프록시 계정에 대해 생성한 암호입니다 Splunk Enterprise Security .
      암호 확인 확인을 위해 비밀번호를 입력하십시오.
    12. 로깅 수준 탭을 선택합니다.
    13. 양식의 필드에 내용을 입력합니다.
      필드설명
      로그 수준 통합으로 인해 생성된 보고 로그의 수준으로, 정보 유형의 이름입니다. 값을 다음 옵션으로 업데이트할 수도 있습니다.
      • 정보
      • 오류
      • 경고
      • debug

      기본적으로 값은 정보입니다.
    14. 저장을 클릭합니다.
      유효성 검사가 성공적으로 완료되면 각 구성과 함께 보안 통합 페이지가 표시됩니다. 유효한 각 구성 타일에 다음 그림과 같이 업데이트삭제 단추가 표시됩니다.
      주:
      기본 인증 또는 OAuth 2.0 인증만 사용해야 합니다. 인증 중 하나를 활성화하고 해당 인증 세부 정보를 입력합니다. 둘 다 활성화하면 오류가 표시됩니다.

      성공적으로 검증되고 제출되면 각 이벤트 수집 Splunk 서버 구성이 보안 통합 페이지에 타일로 저장됩니다. 저장된 구성 타일이 보안 통합 페이지에 표시되지 않으면 페이지의 오른쪽 위 모서리에 있는 구성 표시 목록에서 예를 클릭합니다.