이벤트 수집 통합을 위한 Splunk Enterprise Security 이벤트 프로파일 생성 및 이름 지정

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기49분

    • 인스턴스에서 Now Platform 이벤트 프로파일을 생성하고 보안 인시던트를 생성하는 중요 이벤트를 결정합니다 Splunk .

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    SIR수집된 주목할 만한 이벤트에서 보안 인시던트가 생성되기 전에 Now Platform 보안 인시던트 응답 경보의 필드 값이 보안 인시던트 레이아웃에 Now Platform 표시되므로 실제 보안 인시던트가 생성되는 방법을 미리 볼 수 있습니다.

    사용 가능한 API Splunk ES 를 사용하는 통합 관점에서 주목할 만한 이벤트는 개별 및 수동으로 개별 주목할 만한 이벤트로 전달되거나 정의된 프로필 유형에 따라 인스턴스 환경 Now Platform 으로 Security Operations 자동으로 수집됩니다.

    통합 워크플로우는 예를 들어 무단 액세스 시도 및 맬웨어와 같은 다양한 유형의 주목할 만한 이벤트를 수집합니다. 이러한 주목할 만한 이벤트는 인스턴스 환경에서 구성하는 Security Operations 프로파일을 기반으로 수집됩니다.

    모든 주목할 만한 항목은 처음에 프로파일에서 구성된 상관 관계 검색 유형에 대해 수집됩니다. 그런 다음 수집된 주목할 만한 항목을 추가로 필터링하여 보안 인시던트를 생성하는 주목할 만한 항목을 지정할 수 있습니다. 예를 들어 고위험으로 식별된 중요한 이벤트에 대해서만 보안 인시던트를 만드는 필터를 선호할 수 있습니다. 프로필이 활성화되고 수집된 중요 이벤트에서 보안 인시던트를 생성하기 전에 중요 이벤트의 개별 필드 값이 미리 보기를 위해 보안 인시던트 레이아웃의 해당 필드에 매핑됩니다.

    프로시저

    1. 인스턴스에 있는 Now Platform 이벤트 프로필의 이름은 고유해야 하며 지정된 시간에 하나의 활성 이벤트 프로필에만 매핑할 수 있습니다.
    2. 통합 Now Platform 의 워크플로우를 사용하여 특정 주목할 만한 항목을 수집합니다.
      콘솔의 Splunk ES 선택 기준을 충족하는 모든 주목할 만한 이벤트는 처음에 인스턴스로 수집됩니다 Now Platform .
    3. Now Platform 프로필은 콘솔에서 중요한 이벤트를 캡슐화한 Splunk ES 것입니다.
      프로필로 수집된 주목할 만한 이벤트와 본체에 대한 Splunk ES 연결 사이에는 일대일 관계가 있습니다.
    4. 예약된 중요 이벤트에 대한 프로필을 만들려면 을 참조하십시오 예약된 중요 이벤트 수집을 위한 프로필 설정.
    5. 수동 이벤트 전달을 위한 프로필을 만들려면 을 참조하십시오 수동 이벤트 전달을 위한 프로필 설정.

    예약된 중요 이벤트 수집을 위한 프로필 설정

    정의된 Splunk ES 프로파일에 따라 주목할 만한 이벤트는 인스턴스 환경으로 Security Operations 자동으로 수집됩니다 Now Platform .

    다음 표에는 주목할 만한 이벤트의 예약된 수집을 위한 프로필을 설정하기 위해 따라야 하는 작업 목록이 나와 있습니다.

    표 1. 예약된 중요 이벤트 수집을 위한 프로필 설정 단계
    작업 섹션
    이벤트 프로파일 생성 예약된 중요 이벤트 수집을 위한 프로필 생성 문서를 참조하십시오.
    상관 관계 검색 이름을 기반으로 주목할 만한 이벤트 선택 이벤트 수집 통합을 위한 Splunk ES 프로파일의 상관관계 규칙 이름을 기반으로 주목할 만한 이벤트 선택 문서를 참조하십시오.
    주목할 만한 이벤트 필드 매핑 통합을 위한 Splunk Enterprise Security 중요 이벤트 필드 매핑 문서를 참조하십시오.
    사용자 지정 매핑 생성 주목할 만한 이벤트 인시던트 검토 및 기여 이벤트 상세 정보에 대한 Splunk ES 매핑 생성(예약된 수집) 문서를 참조하십시오.
    보안 인시던트 미리 보기 이벤트 수집 통합에 Splunk Enterprise Security 대한 보안 인시던트 미리 보기 문서를 참조하십시오.
    신규 및 업데이트된 주목할 만한 이벤트 예약 및 검색 이벤트 수집 통합에 대한 Splunk Enterprise Security 신규 및 업데이트된 중요 이벤트 예약 및 검색 문서를 참조하십시오.
    SIR 인시던트 상태에 따라 중요 이벤트 업데이트 및 종결 자동화 SIR 인시던트 상태에 따라 중요 이벤트 업데이트 및 종결 자동화 문서를 참조하십시오.

    예약된 중요 이벤트 수집을 위한 프로필 생성

    주목할 만한 이벤트가 자동으로 수집되도록 프로필을 설정할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 인스턴스에서 Now Platform 중요 이벤트 또는 상관관계 규칙 유형에 대한 이벤트 프로파일을 생성하려면 다음으로 이동합니다. Splunk 통합 > Splunk 이벤트 프로파일레이블이 표시됩니다.
    2. 이벤트 프로파일 양식이 Splunk 표시되지 않으면 진행률 표시줄에서 이름을 클릭합니다.
    3. 새로 만들기를 클릭합니다.
    4. 필드에 내용을 입력합니다.

      다음 표 아래에 작성된 양식의 예가 나와 있습니다.

      필드 설명
      이름 프로파일의 고유 이름입니다. 이름이 고유하지 않으면 오류가 표시되고 중복된 프로파일 이름이 저장되지 않습니다.

      인스턴스의 Now Platform 프로파일 이름은 고유해야 합니다.
      활성 확인란은 기본적으로 선택되어 있지 않으며 비활성화되어 있습니다. 프로파일을 활성화하기 전에 프로파일의 모든 섹션을 완료해야 합니다.
      유형 선택 목록에서 프로파일 유형을 선택합니다.
      • 예약된 이벤트 수집: 이 유형의 프로필은 구성된 일정에 따라 수집되는 주목할 만한 이벤트를 지원합니다. 필드에 내용을 입력합니다.
      • 수동 이벤트 전달: 이 유형의 프로필은 요청 시 인시던트 검토 콘솔에서 Splunk Enterprise Security 수동으로 전달되는 중요 이벤트를 지원합니다. 이러한 유형의 프로필에 대한 양식을 작성하려면 다음 단계를 참조하십시오.
      소스 Splunk 주목할 만한 이벤트를 수집하도록 구성한 서버 또는 검색 끝입니다. 여러 Splunk 서버를 구성한 경우 프로필에 대해 수집할 중요 이벤트 유형에 적합한 서버를 선택합니다. 값을 입력해야 합니다.
      순서 기본값은 100입니다.

      여러 프로필을 만든 경우 이 값은 둘 이상의 프로필이 동일한 트리거 조건을 공유할 때 런타임 실행 우선 순위를 제공합니다. 번호가 가장 낮은 프로필의 워크플로우는 우선 순위가 가장 높습니다.
      (선택 사항) 설명 이 프로파일을 다른 프로파일과 구분하는 데 도움이 되는 추가 텍스트입니다.
      다음 그림은 예약된 중요 이벤트 유형에 대해 작성된 양식의 예입니다.
      Splunk ES 이벤트 프로파일
    5. 주목할 만한 이벤트가 예약된 프로필의 경우 프로필 구성을 계속할 옵션 하나를 선택합니다.
      옵션설명
      계속 프로필을 저장하고 이벤트 선택 단계로 진행합니다.
      업데이트 이 프로파일에 대한 업데이트를 저장하고 이벤트 프로파일 목록으로 Splunk 돌아갑니다.
      저장 이 프로파일을 저장하고 페이지에 남아 있습니다.
      삭제 이 프로파일 기록을 삭제하고 이벤트 프로파일 목록으로 Splunk 돌아갑니다.

    다음에 수행할 작업

    다음 단계는 자동 수집을 위해 주목할 만한 이벤트를 선택하는 것입니다.

    이벤트 수집 통합을 위한 Splunk ES 프로파일의 상관관계 규칙 이름을 기반으로 주목할 만한 이벤트 선택

    예약된 중요 이벤트 유형 수집에 대한 프로필을 생성한 후 해당 중요 이벤트를 보안 인시던트에 Now Platform 보안 인시던트 응답 매핑할 이 프로필의 상관관계 규칙 이름을 선택합니다Splunk Enterprise Security.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    보안 인시던트를 수집하고 생성할 중요 이벤트 유형을 알 수 Now Platform 있도록 인스턴스에서 사용 가능한 상관관계 규칙을 봅니다. 상관관계 규칙을 선택합니다. 이 양식의 목록에서 하나 이상의 주목할 만한 이벤트를 선택할 수 있습니다.

    프로시저

    1. 주목할 만한 이벤트 선택 페이지가 표시되지 않으면 진행률 표시줄에서 해당 페이지를 선택하여 표시합니다.
    2. 상관관계 규칙 목록에서 다음 옵션 중 하나를 선택하여 단일 상관관계 규칙 또는 여러 상관관계 규칙을 선택하고 이동 후 사용 가능 열에서 선택됨 열로 이동합니다.

      이 양식의 상관관계 규칙 목록이 인시던트 검토 콘솔의 상관관계 규칙 목록과 일치합니다 Splunk ES . 이 양식에는 최대 500개의 상관관계 규칙이 표시됩니다. 에 나열된 Splunk ES상관관계 규칙이 500개를 넘으면 인스턴스의 이 양식에는 처음 500개의 중요 이벤트만 표시됩니다 Now Platform .

      옵션 설명
      상관관계 규칙 목록 검색 필드에 텍스트를 입력합니다. 검색 필드 아래의 열은 입력한 텍스트에 따라 사용 가능한 옵션으로 필터링됩니다. 상관관계 규칙을 선택하고 화살표 키를 사용하여 선택한 경보를 Available(사용 가능 )에서 Selected( 선택됨)로 이동합니다.
      상관관계 규칙 목록에서 상관관계 규칙을 두 번 클릭합니다. 선택됨 열이 선택한 항목으로 채워집니다.
      상관관계 규칙 목록에서 상관관계 규칙을 한 번 클릭합니다. 상관관계 규칙이 선택됩니다. 화살표 키를 사용하여 선택한 상관관계 규칙을 사용 가능 에서 선택됨으로 이동합니다.

      Splunk ES 이벤트 프로필: 주목할 만한 이벤트 선택
    3. 계속하려면 하나의 옵션을 선택합니다.
      옵션설명
      계속하거나 진행률 표시줄에서 매핑을 클릭합니다 매핑 양식이 표시됩니다.

      진행률 표시줄에서 매핑이 선택됩니다. 다음 단계는 중요 이벤트 필드를 보안 인시던트에 매핑하는 SIR 것입니다.
      업데이트 데이터가 저장되고 Splunk 주목할 만한 이벤트 프로필 목록이 표시됩니다.
      이전 이름 단계가 표시됩니다.
      삭제 이 이벤트 프로필을 삭제하면 Splunk 중요 이벤트 프로필 목록이 표시됩니다.

    다음에 수행할 작업

    예약 Splunk Enterprise Security 된 프로파일에 대한 상관관계 규칙을 성공적으로 선택했습니다. 다음 단계는 중요 이벤트 값을 보안 인시던트의 필드에 매핑하는 것입니다.

    통합을 위한 Splunk Enterprise Security 중요 이벤트 필드 매핑

    프로필에 대한 특정 상관관계 규칙과 중요 이벤트 유형을 식별한 후 다음 단계는 개별 중요 이벤트 필드를 (SIR) 보안 인시던트의 필드에 매핑하는 Now Platform 보안 인시던트 응답 것입니다.

    개요

    매핑 단계의 경우 선택한 상관관계 규칙에 대한 샘플 주목할 만한 이벤트를 수집하거나 수동으로 전달된 주목할 만한 이벤트에 대한 주목할 만한 이벤트 데이터를 내보낼 수 있습니다. 이벤트 매핑 프로세스는 생성 중인 프로파일 유형에 관계없이 동일합니다.

    다음 그림은 각 유형의 이벤트 프로필에 대해 제공되는 기본 매핑 구성의 예입니다. 보안 인시던트를 채우는 필드를 사용자 지정할 수 있습니다. 이 매핑 단계에서 모든 관련 중요 이벤트 필드 데이터가 SIR 인시던트 양식의 적절한 위치에 매핑되었는지 확인한 다음 미리 보기 섹션에서 SIR 인시던트를 시각화할 수 있습니다.

    여러 상관 관계를 사용하는 경우 필요한 이벤트를 선택하여 중요 이벤트를 가져올 수 있습니다. 수집에 대해 여러 경보를 구성한 경우 경보 이름을 사용하여 경보를 선택합니다.

    데이터를 Splunk 가져오기 위해 클릭하면 주목할 이벤트 필드 이름과 해당 값이 양식 왼쪽에 채워집니다. 보안 Splunk 인시던트 필드에 매핑할 수 있는 주목할 만한 이벤트 필드입니다 SIR . 일부 필드는 SIR 보안 인시던트 필드에 여러 번 매핑될 수 있습니다.


    예약된 중요 이벤트에 대한 기본 매핑

    콘솔에서 Splunk 몇 가지 샘플 주목할 만한 이벤트를 검토하여 필드 매핑 구성 단계에서 수집하는 것이 좋습니다. 이 단계는 진행률 표시줄에 매핑이라는 레이블이 지정되어 있습니다. 이 페이지가 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다. 주목할 만한 이벤트 필드 매핑 프로세스를 지원하기 위해 에서 샘플 주목할 만한 이벤트를 Splunk Enterprise Security 최대 5개까지 수집할 수 있습니다. 선택한 상관관계 규칙에 대해 가장 최근의 주목할 만한 이벤트 5개를 수집하거나 주목할 만한 이벤트 ID를 기반으로 최대 5개의 특정 주목할 만한 이벤트를 수집할 수 있는 옵션이 있습니다.

    다음은 주목할 만한 이벤트를 매핑하는 데 필요한 단계를 요약한 것입니다.
    • 예약된 주목할 만한 이벤트 샘플 데이터 수집: 자동으로 수집된 주목할 만한 이벤트 프로필에 사용되는 샘플 데이터의 경우, 샘플 데이터가 검색되면 사용 가능한 주목할 만한 이벤트 필드와 해당 값이 매핑 양식의 왼쪽에 있는 기본 매핑 레이아웃에 표시됩니다. 끌어온 특정 중요 이벤트 ID의 값을 볼 수 있는 탭이 표시됩니다. 양식 왼쪽에 있는 중요 이벤트 샘플 수집 섹션의 모든 중요 필드가 ServiceNow 양식 오른쪽의 보안 인시던트 필드에 매핑되는지 확인합니다.
    • 필드 매핑: 왼쪽에서 중요 이벤트 필드를 끌어서 오른쪽의 SIR 인시던트 매핑 섹션에 놓 ServiceNow 아 매핑 구성을 편집합니다. 오른쪽의 매핑은 수신 중요 이벤트 필드와 나가는 보안 인시던트 필드를 연결합니다.
    • 매핑 경험: SIR 인시던트 필드 매핑 섹션 하단에 있는 + 아이콘을 사용해 필드를 추가하거나 제거해 매핑 그리드를 사용자 지정합니다. 제공된 색상 코딩으로 간과되거나 중복된 필드를 추적합니다(매핑된 필드는 회색으로 표시되고 파란색 필드는 매핑되지 않음).
    • 인시던트 생성 조건: 매핑 섹션이 완료되면 필터 조건을 설정하여 보안 인시던트를 생성해야 하는 중요 이벤트와 필터링해야 하는 중요 이벤트(예: 우선순위가 낮은 중요 이벤트)를 지정할 수 있습니다. 이 작업은 중요 이벤트 매핑 섹션 아래에 있는 인시던트 생성 조건 섹션에서 수행됩니다.
    • 이벤트 집계 기준: 유사하고 잠재적으로 중복되는 인시던트를 생성하는 대신 들어오는 중요 이벤트를 기존 SIR 보안 인시던트로 집계하는 추가 이벤트 집계 기준을 정의합니다. 각 프로필의 필드 일치 값 조건을 사용하는 이 추가 집계 기능을 사용하면 관련된 모든 보안 중요 이벤트 데이터를 단일 보안 인시던트에 배치하여 활성 상태의 중복 보안 인시던트 수를 줄일 수 있습니다.
    • 필드 변환 형식: 경우에 따라 Enterprise 중요 이벤트의 Splunk 이벤트 필드 값이 보안 인시던트의 필드 SIR 로 직접 변환되지 않을 수 있습니다. 이러한 값의 경우, 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값을 포맷할 수 있습니다. 스크립트 편집기는 비슷하지만 동일하지 않은 값의 형식을 지정하려는 경우 사용합니다. 예를 들어 스크립트 편집기에서 맬웨어 경고 및 바이러스 감염 범주 값은 소스 범주에 대해 서로 다른 필드 값을 가질 수 있지만, 두 값 모두 필드 번역 서식 지정 기능을 사용하여 보안 인시던트의 범주 필드 SIR 에서 공통 악성 코드 활동으로 변환될 수 있습니다.

    다음 단계는 중요 이벤트를 수집하고 값을 보안 인시던트 필드에 매핑하는 SIR 것입니다.

    주목할 만한 이벤트 인시던트 검토 및 기여 이벤트 상세 정보에 대한 Splunk ES 매핑 생성(예약된 수집)

    중요 이벤트 필드 매핑 단계에서 중요 이벤트의 개별 이벤트 필드를 (SIR) 보안 인시던트의 필드에 매핑합니다 Now Platform 보안 인시던트 응답 .

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    매핑 그리드는 상관관계 규칙 선택에서 선택한 주목할 만한 이벤트 유형에 대해 사용자 지정할 수 있습니다. 이벤트 필드를 색으로 구분하면 이미 매핑한 이벤트 값이 회색으로 표시될 때 이를 추적하는 데 도움이 되고 매핑되지 않은 나머지 필드는 모두 파란색으로 표시됩니다. 이렇게 하면 보안 인시던트에 추가된 필드 값과 매핑되지 않은 나머지 중요한 이벤트 정보가 있는지 여부를 더 잘 시각화할 수 있습니다.

    양식 왼쪽의 중요 이벤트 샘플 수집 열에서 오른쪽의 SIR 인시던트 필드 매핑 열에 있는 보안 인시던트 필드에 최대 5개의 중요 이벤트를 매핑합니다.

    양식 오른쪽에 있는 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 매핑을 생성합니다. 일반적으로 보안 인시던트 응답 양식에서 채워야 하는 중요한 필드인 기본 필드가 표시됩니다. 그러나 이러한 필드는 제거할 수 있으며 + 및 - 버튼을 사용하여 추가 필드를 표시할 수 있습니다. 양식 오른쪽의 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 맵을 생성합니다. 필드를 사용자 지정하면 보안 인시던트의 기본 매핑 그리드에 표시되지 않는 필드를 매핑 Splunk 할 수 있습니다 SIR .

    프로시저

    1. 매핑 양식이 표시되지 않으면 진행률 표시줄에서 매핑을 클릭합니다.
    2. 예약된 수집이 있는 프로필의 경우 주목할 만한 이벤트 샘플 수집 아래에서 샘플 데이터 가져오기 를 클릭하여 선택한 상관관계 규칙에 대한 콘솔에서 Splunk Enterprise 최신 샘플 주목할 만한 이벤트를 가져옵니다.
      주:
      주목할 만한 이벤트 샘플을 끌어오거나, 주목할 만한 이벤트 매핑 경험에 사용할 특정 주목할 만한 이벤트에 대해 고유하고 주목할 만한 이벤트 ID를 제공할 수 있습니다.

      중요 이벤트 필드와 값 결과는 개별 탭으로 표시됩니다. 주목할 만한 이벤트는 최대 5개까지 수집할 수 있습니다.

      주목할 만한 이벤트 샘플을 가져오는 데 몇 분 정도 걸릴 수 있습니다. 트랜잭션이 작동 중임을 나타내는 메시지가 화면 상단에 표시됩니다.

      다음 그림에서는 수집된 주목할 만한 이벤트 또는 가져온 샘플 이벤트에 대한 필드-이름 값 쌍이 수집 끌어오기가 완료된 후 이 양식의 왼쪽에 표시됩니다. 이러한 값은 양식의 SIR 인시던트 필드 매핑 측면에 있는 보안 인시던트 필드에 매핑하는 값입니다.


      샘플 데이터 및 수집된 주목할 만한 이벤트 가져오기
    3. 양식 왼쪽의 필드 값을 양식 오른쪽의 보안 인시던트 필드에 매핑하려면 양식 왼쪽에 있는 파란색 필드 이름을 길게 클릭합니다.
    4. 필드 이름(예: src_category)을 보안 인시던트 열의 필드 이름 옆에 있는 입력 식 열의 필드에 끌어다 놓습니다.

      화살표로 표시된 값에 대한 끌어서 놓기.

      필드 값이 입력 표현식 열에 표시됩니다. 다음 이미지에서 src_category 는 보안 인시던트의 범주 필드에 매핑됩니다. 그러나 왼쪽의 모든 값을 오른쪽의 필드와 일치시킬 수 있습니다. 미리 보기 단계에서 값이 보안 인시던트에 올바르게 매핑되어 있는지 확인합니다.

      매핑 프로세스에서 이벤트 필드가 누락되거나 중복되지 않도록 하기 위해 필드는 색으로 구분됩니다. 왼쪽의 연한 파란색 필드는 주목할 만한 이벤트 필드가 아직 선택되지 않았으며 보안 인시던트에 매핑되지 않았음을 나타냅니다. 수신되는 주목할 만한 필드를 보안 인시던트에 대한 둘 이상의 필드와 연결하는 것을 선호할 수 있습니다.

      회색 필드는 필드가 선택되었고 보안 인시던트의 필드에 매핑되었음을 나타냅니다. 이 색상 코딩은 매핑을 추적하는 데 도움이 됩니다.


      강조 표시된 보안 인시던트의 범주 필드 및 값
    5. 양식 오른쪽의 보안 인시던트에 표시되는 기본 필드에 필드를 추가하려면 다음 단계를 수행합니다.
      1. SIR 인시던트 필드 매핑 섹션의 양식 오른쪽에 있는 그리드 하단의 더하기 아이콘을 클릭합니다.
        새 필드가 표시됩니다.
      2. 보안 인시던트 열에서 표시되는 목록을 확장하고 필드를 선택합니다.

        새 필드의 확장된 목록에서 일부 필드는 음영 처리됩니다. 다음 그림에서 범주 는 보안 인시던트에 매핑되었기 때문에 배경이 회색으로 표시됩니다. 양식 왼쪽에 있는 중요 이벤트 필드의 색상 코딩과 마찬가지로 오른쪽의 보안 인시던트 필드에 대한 이 색상 코딩은 이미 매핑된 SIR 인시던트 필드를 추적하는 데 도움이 됩니다.

        범주 필드 매핑

        주:
        동일한 보안 인시던트에 여러 옵저버블을 표시할 수 있도록 옵저버블 필드를 서로 다른 값으로 여러 번 매핑할 수 있습니다. 마찬가지로 구성 항목 및 작업 메모 필드는 여러 값을 지원합니다. 여러 값을 지원할 수 없는 필드에 두 개의 값을 매핑하려고 할 경우, 인시던트를 미리 볼 때 필드에 값이 없다는 오류 메시지가 표시됩니다. 마찬가지로 보안 인시던트의 필드에 여러 옵션을 선택할 수 있는 목록이 있는 경우 목록에 표시되지 않은 옵션을 해당 필드에 매핑하려고 하면 보안 인시던트에 필드가 채워지지 않습니다.
      3. 또는 새 행의 검색 필드에 값을 입력합니다.
      4. 양식 왼쪽에서 마우스 왼쪽 버튼을 클릭하여 입력 식 필드에 추가할 이벤트 ID 를 선택합니다.
    6. 매핑에 필드 값을 추가하거나 제거하여 매핑을 계속합니다.
      다음 그림은 편집된 매핑의 예입니다. 오른쪽 하단 필드에 작업 메모 필드가 추가되고 두 개 이상의 값이 있습니다. 긴 텍스트 문자열 필드의 경우 매핑 필드를 확장하여 전체 문자열을 볼 수 있으며 추가된 작업 메모 필드와 함께 아래 스크린샷에 표시된 대로 필드의 오른쪽 아래 모서리를 당겨 필요에 따라 크기를 조정할 수 있습니다.
      여러 값이 강조 표시된 작업 메모
      경고:
      SIR 인시던트 필드 매핑 섹션에서 입력 식 필드에 언급된 URL 및 포트 번호는 예시일 뿐이며 바로 사용 가능한 URL 또는 포트 번호가 아닙니다.

      미리 보기에서 이러한 값은 보안 인시던트의 작업 메모에 표시됩니다. 이 값은 매핑 섹션에 추가한 필드의 값이고 작업 메모 필드에 매핑된 값이 여러 개 있기 때문에 입력한 대로 값이 표시됩니다. 이 예에서는 필드에 입력한 공백과 문장 부호가 보안 인시던트 미리 보기의 작업 메모로 관련 항목 섹션에 표시됩니다.

      다음 이미지는 앞의 이미지 값이 보안 인시던트에 표시되는 방식의 예입니다.

      보안 인시던트에 표시되는 작업 메모 필드 값입니다.
    7. 옵션: 스크립트 편집기를 열고 편집을 계속합니다.

      스크립트 편집기에 대한 자세한 내용은 을 참조하십시오 스크립트 편집기를 사용하여 통합에 대한 경보 값의 서식을 Splunk Enterprise Event Ingestion 지정합니다.

      주목할 만한 이벤트 인시던트 검토 및 기여 이벤트에 대한 하이퍼링크 포함

      필드 매핑 외에도 sn_si.admin 은 인시던트에 대해 작업하는 보안 분석가가 콘솔의 주목할 만한 이벤트 인시던트 검토 Splunk Enterprise Security 와 드릴다운 검색의 일부인 기본 기여 이벤트로 다시 하이퍼링크할 수 있도록 하는 문자열 값을 매핑할 수 있습니다.

      다음 문자열 값에는 서버 이름과 이러한 세부 정보를 하이퍼링크하는 데 사용할 수 있는 적절한 변수가 포함되어 Splunk Enterprise Security 있습니다.

      • 중요 이벤트 인시던트 검토 하이퍼링크: https://splunkes2.secops-eng.com:8000/en-US/app/SplunkEnterpriseSecuritySuite/incident_review?earliest=${info_min_time}$&latest=now&form.srch=event_id%3D${event_id}$

        여기서 splunkes2.secops-eng.com:8000 는 Splunk 서버 소스이고 info_min_timeevent_id 는 중요 이벤트에서 추출된 이벤트 필드 값입니다.

      • 주목할 만한 이벤트 기여 이벤트(드릴다운 검색) 하이퍼링크: https://splunkes2.secops-eng.com:8000/en-GB/app/SplunkEnterpriseSecuritySuite/search?q=${drilldown_search}$

        여기서 splunkes2.secops-eng.com:8000 는 Splunk 서버 소스이고 drilldown_search 는 중요 이벤트에서 추출된 이벤트 필드 값입니다.

      다음 이미지는 작업 메모 필드에 매핑된 중요 이벤트 인시던트 검토 URL과 중요 이벤트 인시던트 URL이라는 사용자 지정 필드에 매핑된 중요 이벤트 기여 이벤트(드릴다운 검색) 하이퍼링크를 보여줍니다.


      중요 이벤트 인시던트 검토 작업 메모에 매핑된 URL
      다음 이미지는 주목할 만한 이벤트 인시던트 검토 하이퍼링크 및 기여 이벤트 URL이 있는 SIR 인시던트 미리 보기입니다.
      주목할 만한 이벤트 인시던트 검토 하이퍼링크 및 기여 이벤트 하이퍼링크:

      인시던트 생성 필터링 조건

    8. 옵션: 앞의 필드 매핑 단계를 완료한 후 인시던트 생성 조건 작성기에서 동일한 필드 값을 사용하여 수신 중요 이벤트가 보안 인시던트를 생성 SIR 하기 위해 충족해야 하는 추가 기준을 정의할 수 있습니다.
      인시던트 생성 조건을 설정하려면 다음 단계를 수행합니다.
      1. 양식의 인시던트 생성 조건 섹션으로 스크롤하고 조건을 기준으로 필터링 확인란을 선택하여 옵션을 활성화합니다.

        필터 조건 작성기가 표시됩니다. 이러한 필터를 사용하여 필드에 설명된 특정 조건과 일치하는 보안 인시던트를 생성합니다.

        필터 조건 작성기의 첫 번째 필드에 대한 목록의 옵션은 수집한 이벤트의 주목할 만한 이벤트 샘플 수집 섹션에 표시되는 필드와 일치합니다. 이러한 필드는 동적이며 수집하는 중요 이벤트 또는 수동으로 전달된 중요 이벤트 샘플에 대해 선택한 이벤트에 따라 Splunk 변경됩니다. 입력하는 기준은 대/소문자를 구분하며 주목할 만한 이벤트의 Splunk Enterprise Security 값과 정확히 일치해야 합니다. 필터 필드에 입력할 값이 확실하지 않은 경우 콘솔로 Splunk Enterprise Security 돌아가 키워드에 대한 중요 이벤트를 검토하는 것이 좋습니다.


        필터 조건 작성기
      2. 조건 작성기의 목록과 필드를 사용하여 첫 번째 행에 대한 필터를 설정합니다.
      3. 조건을 더 추가하려면 필드 오른쪽에서 AND 또는 OR를 클릭합니다.
        AND를 선택하면 모든 조건이 일치해야 합니다. OR을 선택하면 두 조건 중 하나를 일치시킬 수 있습니다.
      4. 옵션: 두 번째 행에서 두 번째 필터 조건을 설정합니다.

        다음 이미지는 보안 인시던트를 만들기 전에 일치해야 하는 두 가지 조건이 있는 예입니다.


        필터 조건 작성기:2

        입력한 필터링 조건이 모두 일치하는 경우에만 보안 인시던트가 생성되도록 인시던트 생성 조건을 설정했습니다.

        이러한 유형의 인시던트 생성 조건 필터링을 사용하면 보안 이벤트의 범위를 좁히고, 에서 기본 상관 관계 검색 또는 필터를 Splunk수정하지 않고도 생성하는 불필요한 보안 인시던트 수를 제한하는 데 도움이 됩니다. 추가 필터링 기준이 설정된 경우 모든 기준과 일치하는 주목할 만한 이벤트만 인시던트에 매핑됩니다.

        주:
        이벤트 필드 이름에 따옴표("), 하이픈('), 밑줄(-), at(@) 또는 앰퍼샌드(&)와 같은 특수 문자가 있는 경우 매핑 번역을 위해 이러한 문자를 대체해야 할 수 있으며 중복 이벤트 이름을 만들 수 있습니다. 매핑은 적절하게 수행할 수 있지만 중복된 이벤트 이름이 있는 필드를 구분하기 위해 숫자 접미사가 추가됩니다. 예를 들어, 첫 번째 이벤트 필드가 alerts.alert 이고 두 번째 이벤트 필드가 alerts@alerts인 경우 나머지 표준 텍스트 문자가 동일하기 때문에 이러한 필드를 고유하게 식별할 수 없습니다. 이 경우 두 번째 이벤트 필드에 접미사가 추가되고 필드 이름이 alerts@alert(1)으로 바뀝니다.

      유사한 주목할 만한 항목을 처리하고 중복 인시던트를 방지하기 위한 이벤트 집계 기준

    9. 옵션: 중복 보안 인시던트를 만들지 않으려면 들어오는 중요 이벤트가 미해결 보안 인시던트로 집계되도록 추가 이벤트 집계 기준을 정의합니다.
      기준을 설정하려면 다음 단계를 따르십시오.
      1. 양식의 Event Aggregation Criteria(이벤트 집계 기준) 섹션으로 스크롤하고 Aggregate Conditions(집계 조건 ) 확인란을 선택하여 이 옵션을 활성화합니다.

        일치하는 값이 있는 인시던트 필드가 표시됩니다. 이러한 필드 이름은 보안 인시던트에 구성된 모든 사용자 지정 필드를 포함하는 보안 인시던트의 필드입니다 SIR .

      2. 다중 선택 입력 필드에서 의 기존 보안 인시던트 Now Platform와 일치시킬 필드 값을 선택합니다.
      3. 새 기준 추가를 사용하여 여러 필드 일치 조건을 선택합니다.
        다중 선택 입력 필드에서 선택한 모든 필드 값은 AND 조건을 사용하여 집계 기준과 일치합니다. 새 기준 추가를 클릭하여 정의된 다중 선택 필드 조건 중 하나라도 OR 조건을 사용하여 충족되는 경우 집계가 발생하는 여러 필드 일치 조건을 선택합니다.

        집계 기준

        새로운 주목할 만한 이벤트가 매핑 단계의 집계 필드 조건에서 선택된 모든 값과 일치하면 새로운 주목할 만한 이벤트가 동일한 필드 값을 사용하여 가장 최근에 열린 보안 인시던트에 자동으로 추가됩니다. 보안 인시던트를 처리하는 sn_si.analyst 역할을 가진 사용자는 보안 인시던트의 관련 목록에서 추가된 중요 이벤트 집계를 모두 볼 수 있습니다. 보안 인시던트에 대해 집계된 모든 주목할 만한 이벤트는 작업에 대한 이벤트 관련 목록에 표시됩니다 Splunk . 이 목록은 연결된 타임스탬프와 집계된 필드 값에 대해 자세히 설명합니다. 이 정보는 이러한 주목할 만한 이벤트가 기존 보안 인시던트에 집계되는 이유를 이해하는 데 도움이 됩니다. 이 탭이 표시되지 않으면 관련 링크 아래에서 기록의 왼쪽으로 스크롤하고 모든 관련 목록 표시 링크를 클릭합니다.


        작업 관련 목록에 대한 Splunk 이벤트가 강조 표시됨
      4. 옵션: 보안 인시던트에 최근에 추가된 새로운 중요 이벤트에 대한 작업 메모를 기록하려면 이 확인란을 선택하여 이 옵션을 활성화합니다.
        작업 메모는 경보 세부 정보에 대한 링크 및 매핑 섹션의 작업 메모 필드에 추가되었을 수 있는 기타 세부 정보와 함께 새로운 주목할 만한 내용이 추가되었음을 기록합니다.
      중요 이벤트의 Splunk 값을 보안 인시던트의 필드에 매핑했습니다 SIR . 또한 인시던트 생성 필터링 기준을 사용하여 보안 인시던트 생성을 제한하는 추가 조건을 구성했습니다. 또한 이벤트 필드 값이 구성된 집계 기준과 일치할 때 기존 SIR 보안 인시던트에 주목할 만한 이벤트를 추가했습니다.
    10. 프로파일 구성을 계속하려면 하나를 선택합니다.
      옵션설명
         
      계속 매핑 양식이 표시됩니다.

      진행률 표시줄에서 미리 보기가 선택되어 있습니다. 다음 단계는 보안 인시던트에 매핑 SIR 한 필드를 미리 보는 것입니다.
      업데이트 데이터가 저장되고 Splunk 이벤트 프로필 목록이 표시됩니다.
      이전 주목할 만한 이벤트 선택 양식이 표시됩니다.
      삭제 이 이벤트 프로필을 삭제하면 Splunk 이벤트 프로필 목록이 표시됩니다.

    다음에 수행할 작업

    다음 단계는 보안 인시던트에 매핑한 값을 미리 보는 것입니다.

    이벤트 수집 통합에 Splunk Enterprise Security 대한 보안 인시던트 미리 보기

    매핑 단계를 완료한 후 (SIR) 보안 인시던트에서 매핑한 값을 미리 봅니다 Now Platform® 보안 인시던트 응답 . 이 미리 보기 단계를 통해 보안 인시던트에 표시할 모든 중요 필드를 매핑했는지 확인할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    보안 인시던트를 미리 보고 필요에 따라 매핑을 다시 편집하여 오류가 있는 필드를 수정하거나 누락된 데이터를 채웁니다. 미리 보기가 성공적으로 완료되지 않으면 예약 단계를 진행할 수 없습니다. 보안 인시던트의 미리 보기 SIR 는 제품에 실제 인시던트로 SIR 저장되지 않습니다.

    프로시저

    1. 보안 인시던트 미리 보기가 표시되지 않으면 진행률 표시줄에서 미리 보기를 클릭합니다.
    2. 이벤트 이름 선택 목록에서 여러 이벤트가 사용된 경우 항목을 선택합니다.
    3. 샘플 주목할 만한 이벤트 ID 선택 목록에서 이벤트 ID를 선택합니다.
    4. 샘플 주목할 만한 이벤트 ID 선택 목록에서 항목을 선택합니다.

      이벤트 선택 선택 목록이 확장되었습니다.

      보안 인시던트가 표시됩니다. 필드의 정보를 변경하지 마십시오. 이 뷰는 읽기 전용 뷰이며 이 보안 인시던트의 기록은 저장되지 않습니다.

    5. 보안 인시던트에서 중요 이벤트 값의 필드 매핑을 검토합니다.

      미리 보기의 보안 인시던트에 대한 오류 메시지입니다.

      앞의 이미지는 매핑 오류가 있는 미리 보기의 예입니다. 이 예에서는 주목할 만한 이벤트의 필드 값에 SIR 인시던트 양식의 참조 필드에 허용되는 값이 없습니다. 고객 관리 데이터베이스(CMDB)에서 구성 항목 필드에 대한 입력 값을 찾을 수 없음을 ServiceNow® 나타내는 오류 메시지가 표시됩니다. 따라서 이 매핑된 필드 값은 추가 수정 없이 SIR 보안 인시던트 양식에 표시되지 않습니다.

    6. 이 오류를 해결하려면 진행률 표시줄에서 매핑 을 클릭합니다.
    7. 매핑을 편집하여 잘못된 값을 수정하거나 누락된 데이터를 채웁니다.
    8. 매핑을 다시 미리 보고 오류 메시지에 설명된 오류를 계속 수정합니다.

      다음 그림은 모든 오류 메시지가 해결된 후 보안 인시던트의 아래쪽 절반 SIR 에 있는 인시던트 세부 정보 탭의 예입니다. 이 예에서는 설명 및 작업 메모 필드가 매핑되었으며, 이러한 필드는 주목할 만한 이벤트 샘플에서 Splunk Enterprise Security 끌어온 값 쌍의 값으로 채워집니다. 첫 번째 작업 메모 필드에는 값이 없습니다. 매핑 단계 중에 매핑 그리드에서 이 필드가 비어 있었습니다. 값이 있는 추가 작업 메모 필드가 매핑 섹션에 추가되었습니다.


      보안 인시던트 미리 보기의 작업 메모 및 설명 필드
    9. 오류를 수정하고 필드가 원하는 방식인지 확인한 후 계속할 옵션 하나를 선택합니다.
      옵션설명
      계속 예약된 주목할 만한 이벤트가 있는 프로파일에 대해 일정 양식이 표시됩니다.

      진행률 표시줄에서 예약이 선택되어 있습니다.
      종료 수동 이벤트 전달을 위해 구성된 프로필의 경우 Finish( 마침)를 클릭합니다. 콘솔에서 직접 온디맨드로 내보내는 이벤트 데이터가 있는 프로필에 Splunk Enterprise Security 대한 예약 단계는 없습니다.
      업데이트 데이터가 저장되고 이벤트 프로파일 목록으로 Splunk 돌아갑니다.
      이전 진행률 표시줄에 매핑 단계가 표시됩니다.
      삭제 이 이벤트 프로파일을 Splunk 삭제하면 이벤트 프로파일 목록이 표시됩니다.

    다음에 수행할 작업

    오류 메시지가 표시되지 않고 보안 인시던트의 필드 매핑에 만족하는 경우 다음 단계는 통합에 대한 Splunk Enterprise Event Ingestion 경보 예약 및 검색입니다.

    이벤트 수집 통합에 대한 Splunk Enterprise Security 신규 및 업데이트된 중요 이벤트 예약 및 검색

    자동화된 중요 이벤트 수집 프로필의 경우 이벤트 프로필 구성에서 이 단계가 필요합니다. 이 단계에서는 중요 이벤트 검색의 기본 설정을 확인하거나 필요에 따라 일정을 수정할 수 있습니다. 또한 이 단계에서는 날짜 범위를 사용하여 과거의 주목할 만한 이벤트를 검색할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    자동화된 주목할 만한 이벤트 수집을 위한 프로필의 경우 예약 단계에서 주목할 만한 기록 이벤트를 수집할지 여부를 선택합니다. 또한 경보 프로파일 구성과 일치하는 미래의 새로운 중요 이벤트 및 업데이트된 중요 이벤트를 폴링할 빈도를 선택합니다.

    자동화된 중요 이벤트 수집 프로필의 경우 프로필이 활성화되기 전에 예약 및 경보 검색을 확인하고 수정합니다. 이 단계는 예약된 경보 프로파일의 모든 이벤트 프로파일 구성 프로세스에 필요한 단계입니다.

    프로파일별로 이러한 폴링 간격을 구성합니다. 이벤트 수집 통합의 성능은 Splunk 다양한 폴링 간격의 영향을 받을 수 있습니다. 일정을 설정할 때 서버의 폴링 오버헤드 Splunk Enterprise Security 를 줄이는 것과 주목할 만한 이벤트가 만들어지거나 업데이트될 때 가능한 한 빨리 알림을 받고자 하는 욕구 사이에서 균형을 맞추는 것이 좋습니다. 모든 프로필에 대해 5분 기본값이 설정되지만 필요한 경우 이 설정을 1분으로 수정하는 것이 좋습니다.

    신규 및 업데이트된 주목할 만한 이벤트 가져오기

    폴링 일정이 설정되면 예약된 작업이 이전에 끌어왔지만 인시던트 필터링 기준을 충족하지 않은 새 중요 이벤트와 업데이트된 중요 이벤트를 모두 끌어옵니다. 따라서 기준에 따라 인시던트를 유연하게 생성할 수 있습니다. 이러한 인시던트는 주목할 만한 이벤트가 처음 생성될 때는 나타나지 않지만 조사가 이루어진 후(예: 조사 단계) 사용할 수 있습니다. 주목할 만한 특정 이벤트에 대해 인시던트가 생성되면 현재 주목할 만한 사건이 활성 ServiceNow® 보안 인시던트로 처리될 것으로 예상되므로 후속 업데이트는 무시됩니다. 그러나 이전에 수집되었지만 인시던트 생성 기준을 충족하지 못한 다른 모든 주목할 만한 항목은 활성 인시던트의 일부가 될 때까지 계속해서 인시던트 생성 기준에 대해 끌어오기 및 확인됩니다.

    프로시저

    1. 진행률 표시줄에 Scheduling(예약) 페이지가 표시되지 않으면 Scheduling(예약)을 선택합니다.
    2. 콘솔에서 Splunk Enterprise Security 중요 이벤트를 가져오는 방법과 시기를 예약하려면 하나를 선택합니다.
      옵션설명
      • 진행 중인 이벤트 수집 필드 선택됨
      • 일회성 검색 필드 지워짐
      		 진행 중인 이벤트

      기본 설정에 따라 인스턴스는 Now Platform 5분마다 신규 및 업데이트된 중요 이벤트를 서버에서 가져옵니다 Splunk Enterprise Security . 보안 인시던트는 주목할 만한 이벤트가 발견되고 인시던트 생성 필터링 기준이 일치하는 경우 생성됩니다. 최신 데이터를 가져오기 위한 수집 폴링 오버헤드 욕구의 균형을 맞추기 위해 5분이 기본 설정입니다. 그러나 필요한 경우 이 값을 최소 1분으로 수정할 수 있습니다.
      • 진행 중인 주목할 만한 이벤트 필드 지워짐
      • 일회성 검색 필드 선택됨
      		 일회성 검색

      주목할 만한 기록 이벤트를 수집하기 위해 일회성 끌어오기를 원하는 경우 이 구성을 사용합니다.

      이 설정이 구성되면 프로필은 날짜 범위를 기반으로 하는 기록 이벤트에서 주목할 만한 이벤트를 검색하는 데 한 번 사용됩니다. 날짜 이후 필드 오른쪽에 있는 달력 아이콘을 클릭합니다. 표시되는 달력에서 경보 끌어오기를 시작할 날짜를 선택합니다. 날짜 이후 값부터 시작하여 현재 날짜까지 주목할 만한 이벤트가 검색됩니다. 현재 날짜로부터 최대 7일 전으로 가져올 수 있습니다. 이 기능은 보관을 위해 상당한 양의 기록 이벤트를 Splunk Enterprise Security 검색하기 위한 것이 아니라 프로필 활성화 시 활발하게 작업 중인 최소한의 진행 중인 이벤트를 검색하기 위한 것입니다.

      주목할 만한 이벤트를 끌어온 후에는 이 설정이 현재 날짜로부터 앞으로 이 프로필에 대해 더 많은 주목할 만한 이벤트를 검색하지 않습니다. 이 설정은 입력한 범위에 대해 검색된 모든 중요 이벤트로 보안 인시던트를 채웁니다.

      달력이 표시된 예약 페이지.

      초기 중요 이벤트 수집 시간을 예약하는 예로, 현지 시간으로 하루에 한 번 오전 4시에 실행되는 일일 Splunk 보안 검사가 있는 경우 인스턴스에서 Now Platform 해당 중요 이벤트 프로필을 현지 시간으로 오전 4시 5분에 실행되도록 설정하여 보안 장애 이벤트를 즉시 캡처하고 보안 인시던트를 생성할 수 있습니다. 초기 이벤트 수집 필드에 04 05 00 을 입력합니다. 증분(분) 필드에 1440 (24시간)을 입력하여 초기 이벤트 수집부터 24시간 동안 다음 이벤트 수집을 예약합니다. 초기 이벤트 수집 시간과 다음 이벤트 수집 시간이 모두 필드에 표시됩니다.

    3. 이 예제에 대한 설정을 구성하려면 다음 단계를 수행합니다.
      1. 예약 페이지가 표시된 상태에서 진행 중인 이벤트 수집 확인란을 선택하여 이 옵션을 사용하도록 설정합니다.
      2. 증분(분) 필드에 1440 (24시간)을 입력합니다.
      3. Select Initial event ingestion(초기 이벤트 수집 선택) 확인란을 클릭하여 Initial event ingestion(초기 이벤트 수집) 및 Next event ingestion(다음 이벤트 수집) 필드에 대한 편집을 활성화합니다.
      4. 초기 이벤트 수집 필드에 04 05 00을 입력합니다.
        다음 이벤트 수집(예상) 필드에 다음 이벤트 수집 시간이 표시됩니다.
    4. 프로파일 구성을 계속하려면 다음 중 하나를 클릭하십시오.
      옵션설명
      계속 추가 옵션 양식이 표시됩니다. 진행률 표시줄에서 추가 옵션이 선택되어 있습니다. 다음 단계는 SIR 인시던트가 생성 및/또는 종결될 때 주목할 만한 이벤트를 업데이트하는 것입니다.
      업데이트 데이터가 저장되고 Splunk 이벤트 보안 프로파일 목록이 표시됩니다.
      이전 일정 양식이 표시됩니다.
      삭제 이 이벤트 프로파일을 Splunk Enterprise Security 삭제하면 이벤트 프로파일 목록이 표시됩니다.

    SIR 인시던트 상태에 따라 중요 이벤트 업데이트 및 종결 자동화

    보안 인시던트는 통합과의 양방향 인터페이스를 Splunk Enterprise Security 사용하여 생성한 후 생성하고 업데이트할 수 있습니다.

    시작하기 전에

    통합에는 Splunk Enterprise Security 중요 이벤트가 보안 인시던트를 생성하고 보안 인시던트가 생성 및/또는 종결된 후 중요 이벤트를 업데이트할 수 있는 양방향 인터페이스가 있습니다.

    관련 인시던트 상세 정보에는 인시던트 번호, 할당 그룹, SIR 인시던트 URL이 포함됩니다SIR. 이 섹션은 중요 이벤트를 업데이트하는 선택적 기능을 제공하는 프로필 구성 설정의 마지막 부분입니다 Splunk Enterprise Security .

    필요한 역할: sn_si.admin

    프로시저

    1. 진행률 표시줄에 추가 옵션 페이지가 표시되지 않으면 추가 옵션을 선택합니다.
    2. 아래 지침에 따라 보안 인시던트 업데이트를 기반으로 중요 이벤트를 업데이트하기 위한 구성을 완료합니다.
      옵션 또는 필드설명
      SIR 인시던트 작성 시 중요 이벤트 업데이트 주목할 만한 이벤트 상태를 업데이트하고 이 주목할 만한 이벤트에서 보안 인시던트가 생성될 때 주석을 추가하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 만드는 초기 트리거 중요 이벤트와 집계된 이벤트 모두에 대해 발생할 수 있습니다.
      초기 주목할 만한 이벤트 상태 업데이트 서버에서 검색된 사용 가능한 모든 상태 값을 표시하는 메뉴에서 상태 옵션을 선택해야 합니다 Splunk Enterprise Security . 여기에는 아래 스크린샷에 표시된 대로 할당됨과 같은 ServiceNow 사용자 지정 생성 상태가 포함될 수 있습니다. 수집된 주목할 만한 이벤트에 대해 보안 인시던트가 생성될 때 모든 주목할 만한 이벤트에 대해 설정할 상태 값을 선택합니다. 여기에는 새 인시던트를 생성하는 주목할 만한 인물과 기존 미해결 인시던트로 수집 및 집계되는 주목할 만한 인물이 포함됩니다.
      주목할 만한 이벤트에 다시 게시된 초기 설명 중요 상태 값을 업데이트하는 것 외에도 중요 이벤트 인시던트 검토 기록에 의견을 게시할 수도 있습니다. 지침에 설명된 대로 인시던트 양식의 필드에 보안 인시던트 응답 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하는 등 의견 섹션에 표시된 기본 텍스트를 편집할 수 있습니다.
      SIR 인시던트 종결 시 중요 이벤트 종결 보안 인시던트가 주목할 만한 이벤트에서 종결될 때 주목할 만한 이벤트 상태를 업데이트하고 주석을 추가하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 만드는 주목할 만한 초기 트리거 이벤트와 집계된 이벤트 모두에 대해 발생합니다.
      종결 주목할 만한 이벤트 상태 업데이트 서버에서 검색 Splunk Enterprise Security 된 사용 가능한 모든 상태 값을 표시하는 목록 메뉴에서 상태 옵션을 선택해야 합니다. 여기에는 아래 스크린샷에 표시된 대로 할당됨과 같은 ServiceNow 사용자 지정 생성 상태가 포함될 수 있습니다. 수집된 주목할 만한 이벤트에 대해 보안 인시던트가 생성될 때 모든 주목할 만한 이벤트에 대해 설정할 상태 값을 선택합니다. 여기에는 새 인시던트를 생성하는 주목할 만한 인물과 기존 미해결 인시던트로 수집 및 집계되는 주목할 만한 인물이 포함됩니다.
      주목할 만한 이벤트에 다시 게시된 종결 설명 중요 상태 값을 업데이트하는 것 외에도 중요 이벤트 인시던트 검토 기록에 종결 의견을 게시할 수도 있습니다. 지침에 설명된 대로 인시던트 양식의 필드에 보안 인시던트 응답 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하는 등 의견 섹션에 표시된 기본 텍스트를 편집할 수 있습니다.
    3. Finish(마침)를 클릭하여 구성을 완료합니다.
      확인 대화 상자가 표시됩니다. 통합을 위한 설정 및 구성을 성공적으로 완료했습니다. 일정에 따라 콘솔에서 Splunk Enterprise Security 중요 이벤트를 끌어오려면 이 프로필을 활성화합니다. 24시간 동안 만들 수 있는 보안 인시던트는 1,000개로 제한됩니다. 발생한 경보당 최대 100개의 주목할 만한 이벤트가 있습니다. 제한에 도달한 후 후속 주목할 만한 이벤트는 무시됩니다.
      다음 이미지는 기본값이 채워진 추가 옵션 탭을 보여줍니다.
      추가 옵션:1
      추가 옵션 구성을 사용하면 주목할 만한 이벤트 인시던트 검토에 상태 변경과 이력 설명의 업데이트가 표시됩니다.
      추가 옵션: 2

    수동 이벤트 전달을 위한 프로필 설정

    정의된 Splunk ES 프로파일에 따라 주목할 만한 이벤트는 인스턴스 환경에 Now Platform 개별 중요 이벤트 Security Operations 로 수동으로 전달됩니다.

    중요 이벤트의 수동 전달을 위한 프로필 설정하기:

    작업 섹션
    이벤트 프로파일 생성 수동으로 전달된 이벤트에 대한 프로필 생성 문서를 참조하십시오.
    주목할 만한 이벤트 필드 매핑 통합을 위한 Splunk Enterprise Security 중요 이벤트 필드 매핑 문서를 참조하십시오.
    사용자 지정 매핑 생성 중요 이벤트 인시던트 검토 및 기여 이벤트 상세 정보에 대한 Splunk ES 매핑 생성(수동 전달) 문서를 참조하십시오.
    보안 인시던트 미리 보기 이벤트 수집 통합에 Splunk Enterprise Security 대한 보안 인시던트 미리 보기 문서를 참조하십시오.

    Splunk 수동 수집을 위한 환경 설정

    		 중요 이벤트 수집 통합을 위한 수동 이벤트 수집을 Splunk Enterprise Security 위한 환경 설정 Splunk 문서를 참조하십시오.
    SIR 인시던트 상태에 따라 중요 이벤트 업데이트 및 종결 자동화 SIR 인시던트 상태에 따라 중요 이벤트 업데이트 및 종결 자동화 문서를 참조하십시오.

    수동으로 전달된 이벤트에 대한 프로필 생성

    수동으로 전달된 이벤트에 대한 프로필을 설정할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    수동 이벤트 전달을 지원하는 프로필을 만들려면 다음 단계를 수행합니다.

    콘솔에서 Splunk Enterprise Security 요청 시 전달하는 이벤트의 경우 기존 프로파일에 개별 필드 매핑을 기반으로 할 수 있습니다. 또는 익스포트된 첨부 파일 데이터에 대한 새 매핑 그리드를 만들 수 있습니다. 수동으로 전달하는 이벤트는 이벤트 프로필에서 예약되지 않습니다.

    1. 아직 선택하지 않은 경우 유형 필드의 선택 목록에서 수동 이벤트 전달을 선택합니다.
    2. 표시되는 매핑 옵션 필드의 선택 목록에서 계속하려면 매핑 옵션 하나를 선택합니다.
      매핑 옵션 선택 목록에서 사용할 수 있는 매핑 옵션에 대한 자세한 내용은 다음 그림과 표를 참조하십시오.
      Splunk: 수동 이벤트 전달
      표 2. 새 필드 매핑 옵션 생성
      옵션 또는 필드 설명
      새 필드 매핑 옵션 생성 이벤트에 대한 새 필드 매핑입니다.

      생성 중인 프로파일과 유사한 기존 필드 매핑이 없는 경우 이 옵션을 선택하여 새 맵을 생성합니다.
      기본 프로파일

      모든 Splunk 이벤트에 대한 기본 이벤트 전달 프로필입니다. 기본값은 선택 취소(비활성화)입니다.

      이 옵션을 사용하도록 설정하면 이 프로필이 수동 이벤트 전달의 기본 프로필이 됩니다. 이 프로필은 수동으로 전달된 이벤트의 소스에 일치 항목이 없을 때 사용됩니다. 출처를 알 수 없는 모든 이벤트의 기본 프로필이 됩니다.

      기본 프로파일 옵션이 활성화된 경우 소스 필드를 사용할 수 없습니다.
      소스(주목할 만한 이벤트 필드) 이는 일반적으로 주목할 만한 공격(예: 무차별 암호 대입 공격)을 트리거한 상관관계 규칙을 정의하는 필드입니다.

      기본 프로파일 옵션이 활성화된 경우 이 필드를 사용할 수 없습니다.

      사용 가능한 경우, 이 필드는 일반적으로 다른 이벤트 유형마다 다른 Splunk 상관관계 규칙에 따라 보안 인시던트 필드에 대한 고유한 이벤트 필드 매핑을 허용합니다.

      서로 다른 상관관계 규칙을 별도로 관리하려는 경우 상관관계 규칙을 기반으로 다른 프로필 이벤트 프로필을 만들어 이 요구 사항을 충족할 수 있습니다.
      주목할 만한 이벤트 업데이트 자동화 주목할 만한 이벤트에서 SIR 인시던트가 생성되거나 SIR 인시던트가 종결될 때 중요 이벤트 상태를 업데이트하고 주석을 추가하려면 이 확인란을 선택합니다. 이는 SIR 인시던트를 생성하는 초기 트리거 주목할 만한 이벤트와 집계된 이벤트 모두에 대해 발생합니다.

      소스(Splunk 서버)

      Splunk 중요 이벤트의 소스로 구성한 서버입니다. 여러 Splunk 서버를 구성한 경우 프로필에 대해 업데이트될 중요 이벤트 유형에 적합한 서버를 선택합니다. 값을 입력해야 합니다.
      순서 기본값은 100입니다. 이 설정을 기본값으로 둡니다.

      많은 수의 프로필을 만든 경우 이 값은 둘 이상의 프로필이 트리거 조건을 공유할 때 런타임 실행 우선 순위를 제공합니다. 번호가 가장 낮은 프로필의 워크플로우는 우선 순위가 가장 높습니다.
      (선택 사항) 설명 이 프로파일을 다른 프로파일과 구분하는 데 도움이 되는 텍스트입니다.

      새 필드 매핑이 있는 프로필의 경우 Source type 필드에 값을 입력했는지 확인하고 Continue(계속 )를 클릭하여 구성의 매핑 단계로 진행합니다.

      기존 필드 매핑이 있는 프로파일의 경우 자세한 내용은 다음 그림과 표를 참조하십시오.
      수동: 기존 프로파일
      표 3. 필드 매핑 옵션에 대한 기존 프로파일 선택
      옵션 또는 필드 설명
      필드 매핑을 위해 기존 프로파일 선택 새 중요 이벤트 프로파일에 대한 기존 필드 매핑을 재사용합니다. 프로파일에서 복사 필드가 표시됩니다.

      이 프로파일에 대한 기존 필드 매핑을 복사하려면 다음 단계를 따르십시오.

      1. 표시되는 프로파일에서 복사 필드의 왼쪽에서 검색 아이콘을 클릭합니다.
      2. Splunk 표시되는 ES 이벤트 프로파일 목록에서 복사할 맵이 있는 프로파일 이름을 클릭합니다.

        프로파일 이름이 프로파일에서 복사 필드에 표시됩니다.
      기본 프로파일

      소스가 일치하지 않는 모든 Splunk 주목할 만한 이벤트에 대한 기본 이벤트 전달 프로필입니다. 기본값은 선택 취소(사용 안 함)입니다.

      이 옵션을 사용하도록 설정하면 이 프로필이 수동 이벤트 전달의 기본 프로필이 됩니다.

      기본 프로파일 옵션이 활성화된 경우 소스 필드를 사용할 수 없습니다.
      소스(주목할 만한 이벤트 필드) 이는 일반적으로 주목할 만한 공격(예: 무차별 암호 대입 공격)을 트리거한 상관관계 규칙을 정의하는 필드입니다.

      기본 프로파일 옵션이 활성화된 경우 이 필드를 사용할 수 없습니다.

      사용 가능한 경우, 이 필드는 일반적으로 다른 이벤트 유형마다 다른 Splunk 상관관계 규칙에 따라 보안 인시던트 필드에 대한 고유한 이벤트 필드 매핑을 허용합니다.

      서로 다른 상관관계 규칙을 별도로 관리하려는 경우 상관관계 규칙을 기반으로 다른 프로필 이벤트 프로필을 만들어 이 요구 사항을 충족할 수 있습니다.
      중요 이벤트 자동화 중요 이벤트에서 보안 인시던트가 생성되거나 보안 인시던트가 종결될 때 중요 이벤트 상태를 업데이트하고 설명을 추가하려면 이 확인란을 선택합니다. 이는 보안 인시던트를 만드는 초기 트리거 중요 이벤트와 집계된 이벤트 모두에 대해 발생합니다.

      소스(Splunk 서버)

      Splunk 중요 이벤트의 소스로 구성한 서버 또는 검색 끝입니다. 여러 Splunk 서버를 구성한 경우 프로필에 대해 업데이트될 중요 이벤트 유형에 적합한 서버를 선택합니다. 값을 입력해야 합니다.
      순서 기본값은 100입니다. 이 설정을 기본값으로 둡니다.

      여러 프로필을 만든 경우 이 값은 두 개 이상의 프로필이 트리거 조건을 공유할 때 런타임 실행 우선 순위를 제공합니다. 번호가 가장 낮은 프로필의 워크플로우는 우선 순위가 가장 높습니다.
      (선택 사항) 설명 이 프로파일을 다른 프로파일과 구분하는 데 도움이 되는 텍스트입니다.

      프로필에 대한 기존 매핑을 선택하기 위한 양식 아래쪽에서 마침 을 클릭하여 프로필 구성을 완료합니다.

    중요 이벤트 인시던트 검토 및 기여 이벤트 상세 정보에 대한 Splunk ES 매핑 생성(수동 전달)

    중요 이벤트 필드 매핑 단계에서 중요 이벤트의 개별 이벤트 필드를 (SIR) 보안 인시던트의 필드에 매핑합니다 Now Platform 보안 인시던트 응답 .

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    양식 왼쪽의 중요 이벤트 샘플 수집 열에서 오른쪽의 SIR 인시던트 필드 매핑 열에 있는 보안 인시던트 필드에 최대 5개의 중요 이벤트를 매핑합니다.

    양식 오른쪽에 있는 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 매핑을 생성합니다. 일반적으로 SIR 인시던트 양식에서 채워야 하는 중요한 필드인 기본 필드가 표시됩니다. 그러나 이러한 필드는 제거할 수 있으며 + 및 - 버튼을 사용하여 추가 필드를 표시할 수 있습니다. 양식 오른쪽의 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 맵을 생성합니다. 필드를 사용자 지정하면 보안 인시던트의 기본 매핑 그리드에 표시되지 않는 필드를 매핑 Splunk 할 수 있습니다 SIR .

    프로시저

    1. 매핑 양식이 표시되지 않으면 진행률 표시줄에서 매핑을 클릭합니다.
    2. 다음 단계에 따라 인스턴스에 첨부 파일 데이터를 업로드합니다 Now Platform® .
      1. 아직 로그인하지 않았다면 본체에 Splunk Enterprise 로그인합니다.
      2. 검색 탭으로 이동하여 내보낼 주목할 만한 이벤트 데이터가 있는 검색의 이름을 입력합니다.
        무차별 암호 대입 공격 행동 상관관계 규칙에 대해 주목할 만한 이벤트를 검색하는 검색 형식의 예는 다음과 같습니다: 'notable'|search source="Access - Brute Force Access Behavior Detected - Rule".
      3. 주목할 만한 이벤트를 확장하고 필드 열에서 임포트할 필드를 선택합니다.

        이러한 필드는 익스포트되어 인스턴스의 Now Platform® 매핑 페이지에 표시되는 필드-값 쌍입니다.


        Splunk ES: 익스포트할 주목할 만한 이벤트 선택
      4. Splunk Enterprise 콘솔의 Search(검색) 페이지 오른쪽 상단에서 Export(내보내기) 아이콘을 클릭합니다.
      5. 표시되는 대화 상자의 형식 필드에 대한 선택 목록에서 XML 형식을 클릭합니다.
      6. 옵션: 새 파일 이름을 입력합니다.
      7. 익스포트를 클릭합니다.

        Splunk ES: XML 파일 내보내기
        내보낸 Splunk 중요 이벤트 XML 파일을 이제 인스턴스에 업로드해야 합니다 Now Platform® .
      8. 인스턴스에 매핑 페이지가 아직 표시되지 Now Platform® 않은 경우 진행률 표시줄에서 매핑을 클릭합니다.
      9. Notable Event Sample Ingestion(주목할 만한 이벤트 샘플 수집) 열에서 Load Attachment Data(첨부 파일 데이터 로드)를 클릭합니다.

        Splunk ES: 첨부 파일 데이터 로드
      10. 표시되는 대화 상자에서 파일 선택을 클릭하고 내보낸 .xml 파일로 이동한 다음 열기를 클릭합니다.
        수동으로 전달된 이벤트에 Splunk ES 대한 첨부 파일 데이터를 클릭하여 로드하면 중요 이벤트 필드가 양식 왼쪽에 채워집니다. 이러한 값은 양식의 Sir Incident Field Mapping 측면에 있는 보안 인시던트 필드에 매핑하는 필드 값입니다.
        이벤트에 대해 익스포트한 필드의 값 쌍이 매핑 양식의 왼쪽에 표시됩니다.
    3. 섹션의 주목할 만한 이벤트 인시던트 검토 및 기여 이벤트 상세 정보에 대한 Splunk ES 매핑 생성(예약된 수집) 5-10단계를 수행합니다.

    중요 이벤트 수집 통합을 위한 수동 이벤트 수집을 Splunk Enterprise Security 위한 환경 설정 Splunk

    이 통합에 ServiceNow 대해 콘솔에서 Splunk Enterprise Security 수동 및 요청 시 이벤트를 익스포트하려면 엔터프라이즈 콘솔 또는 Splunk Cloud 인스턴스에서 Splunk 애플리케이션용 Splunk Enterprise Security Security Operations Event Ingestion Addon을 설치하고 설정합니다.

    시작하기 전에

    엔터프라이즈 콘솔 또는 Splunk Cloud 인스턴스에서 Splunk 애플리케이션용 Splunk Enterprise Security Security Operations Event Ingestion Addon을 ServiceNow 설치 및 설정하는 것은 선택 사항입니다.

    수동 이벤트 수집에 필요한 splunkbase에서 ServiceNow Store 애드온 플러그인을 설치하기 전에 이 통합을 위한 애플리케이션을 설치했는지 확인합니다. 에서 통합을 ServiceNow Store위한 애플리케이션을 설치하지 않은 경우 지침을 참조 중요 이벤트 수집 통합을 위한 Splunk Enterprise Security 애플리케이션 설치 및 구성 ServiceNow 하고 지침에 따라 설치합니다.

    필요한 역할: Splunk Enterprise Security administrator

    이 태스크 정보

    통합을 위해 콘솔에서 Splunk Enterprise 이벤트를 수동 및 요청 시 익스포트하려면 콘솔의 splunkbase Splunk Enterprise Security 에서 ServiceNow Security Operations 이벤트 수집 추가 기능을 Splunk Enterprise Security 다운로드, 설치 및 설정합니다. 이 ServiceNow 확장 추가 기능은 인스턴스에서 수동으로 익스포트한 이벤트에서 보안 인시던트를 생성할 수 Now Platform 있도록 하는 데 필요합니다. 이 ServiceNow 애플리케이션용 Splunk Enterprise Security Security Operations 이벤트 수집 추가 기능은 splunkbase에서 사용할 수 있습니다.

    수동 이벤트 전달의 경우 콘솔에서 최대 두 개의 서로 다른 Now Platform 엔드포인트(인스턴스)를 식별할 수 있습니다 Splunk Enterprise Security . 이벤트를 엔드포인트에 수동으로 전달하여 보안 인시던트를 생성합니다. 예를 들어 스테이징(개발) 인스턴스와 프로덕션 인스턴스를 모두 지정할 수 있습니다. 개별 인스턴스를 지정하고 각 인스턴스에 대해 기본 및 보조 워크플로우의 이름을 지정하여 서로 다른 이벤트를 전달할 위치를 선택할 수 있습니다.

    프로시저

    1. 용 Security Operations 이벤트 수집 추가 기능을 Splunk Enterprise Security아직 설치 ServiceNow 하지 않은 경우 다음 단계에 따라 설치하고 구성합니다.
      1. splunkbase로 이동합니다.
      2. ServiceNow Security Operations 에 대한 Splunk Enterprise SecuritySecurity Operations 이벤트 수집 추가 기능을 검색합니다.
        주:
        에 대한 Event Ingestion Addon을 Splunk Enterprise Security선택 ServiceNow Security Operations 했는지 확인하십시오. 이 목록에는 추가 ServiceNow 애드온이 표시됩니다. 이러한 애드온은 서로 다른 ServiceNow Splunk 통합을 위한 것이며 이 통합에는 필요하지 않습니다.
      3. 애플리케이션을 다운로드합니다.
      4. Splunk Enterprise Security 계정을 엽니다.
      5. Apps(앱) 페이지에서 톱니바퀴 아이콘 또는 메뉴 드롭다운 목록의 Manage Apps(앱 관리 ) 바로 가기를 클릭합니다.
      6. 표시되는 앱 페이지의 왼쪽 상단에서 파일에서 앱 설치를 클릭합니다.
      7. Choose File(파일 선택)을 클릭하고 Security Operations Event Ingestion Addon for Splunk Enterprise Security를 선택한 ServiceNow 다음 Upload(업로드)를 클릭합니다.
      8. 메시지가 표시되면 다시 시작합니다 Splunk Enterprise.
        ServiceNow Security Operations 이벤트 수집 추가 기능이 Splunk Enterprise Security 콘솔에 설치되어 있습니다Splunk Enterprise Security. 애드온을 설정하는 다음 단계입니다.
    2. 애드온을 설정하려면 다음 단계를 따르세요.
      1. 에서 Splunk Enterprise Security 톱니바퀴 아이콘 또는 메뉴 드롭다운 목록에서 앱 관리를 클릭합니다.
      2. 표시되는 응용 프로그램 목록의 Actions 열에서 Set up for ServiceNow Security Operations Event Ingestion Addon for Splunk Enterprise Security을 클릭합니다.
      3. 양식을 작성합니다.
        다음 그림은 콘솔에서 Splunk Enterprise Security 작성된 양식의 예입니다.
        API 엔드포인트
      ServiceNow 기본 인스턴스 지정 섹션의 필드설명
      워크플로우 작업 레이블 프로덕션(기본) 인스턴스에 대한 워크플로우의 Now Platform 이름입니다. 이 이름은 이벤트를 모니터링 Splunk 하는 사용자가 기본 인스턴스로 식별하는 인스턴스의 Now Platform 이름입니다(예: ServiceNow 이벤트 수집(프로덕션)).

      이 필드의 기본값은 ServiceNow 이벤트 수집(프로덕션)입니다.

      Splunk Enterprise Security 콘솔에서 이 워크플로우 이름은 검색의 확장된 Event Actions(이벤트 작업) 드롭다운 목록에서 프로덕션(기본) 인스턴스에 대해 표시됩니다. 이 이름은 프로덕션 인스턴스의 이름입니다. 이름을 편집할 수 있습니다.
      URL 앞의 워크플로우 작업 레이블 필드에 입력한 인스턴스의 Now Platform URL입니다.

      브라우저에서 URL을 복사하여 양식의 이 필드에 붙여넣습니다.
      엔드포인트 기본 API 경로입니다. 자세한 내용은 다음 표 그림을 참조하십시오.

      프로덕션 인스턴스의 엔드포인트 Now Platform 에 대한 값이 없는 경우 다음 단계를 따르십시오.

      1. Now Platform 프로덕션 인스턴스에 시스템 관리자(admin) 역할을 가진 사용자로 로그인합니다.
      2. 탐색 패널에 Scripted REST API 를 입력합니다.
      3. 탐색 패널을 새로 고친 후 표시되는 스크립팅된 REST API 모듈을 선택합니다.
      4. 표시되는 스크립팅된 REST API 목록의 이름 열에 이벤트 수집이 나열되지 않으면 맨 위에 있는 검색 필드에 이벤트 수집을 입력합니다.
      5. 새로 고친 페이지의 기본 API 경로 열에서 이 값을 복사하여 양식의 엔드포인트 필드에 붙여 넣습니다. 기본 API 경로의 예는 /api/sn_sec_splunk_v2/event_ingestion입니다.
      사용자 이름 인스턴스의 Now Platform 사용자 이름입니다. 이 이름은 수동 이벤트 전달을 위해 사용자에게 (sn_sec_splunk_v2.api_account_access) 역할을 할당한 인스턴스의 사용자 이름입니다 Now Platform .

      이 역할 할당에 대한 자세한 내용은 다음 문서를 참조하십시오 통합을 위한 Splunk Enterprise Event Ingestion 인스턴스 설정 Now Platform.
      암호 인스턴스의 암호입니다 Now Platform .

      이 암호는 수동 이벤트 전달을 위해 사용자에게 (sn_sec_splunk_v2.api_account_access) 역할을 할당한 인스턴스의 암호 Now Platform 입니다.
      (선택 사항) ServiceNow 보조 인스턴스 지정 섹션의 필드 설명

      이러한 필드는 선택 사항입니다. 보조 인스턴스를 지정할 필요는 없습니다.
      워크플로우 작업 레이블 Now Platform 보조(스테이징) 인스턴스의 워크플로우 이름입니다. 이 이름은 이벤트를 모니터링 Splunk 하는 사용자가 보조 인스턴스로 식별하는 인스턴스의 Now Platform 이름입니다(예: 이벤트 수집(스테이징)ServiceNow).

      Splunk Enterprise Security 콘솔에서 이 워크플로우 이름은 검색의 확장된 Event Actions 드롭다운 목록에서 스테이징(보조) 인스턴스에 대해 표시됩니다. 이 Now Platform 인스턴스가 스테이징 인스턴스입니다. 이름을 편집할 수 있습니다.
      URL 보조 Now Platform 인스턴스에 대한 이전 워크플로우 작업 레이블 필드에 입력한 인스턴스의 Now Platform URL입니다.

      브라우저에서 URL을 복사하여 양식의 이 필드에 붙여넣습니다.
      엔드포인트 기본 API 경로입니다. 보조 인스턴스의 기본 API 경로에 대한 이 값은 기본 인스턴스의 기본 API 경로와 동일한 값입니다. 자세한 내용은 양식의 앞 그림을 참조하십시오.
      사용자 이름 스테이징 인스턴스의 Now Platform 사용자 이름입니다. 사용자에게 (sn_sec_splunk_v2.api_account_access) 역할이 있어야 합니다.
      암호 스테이징 인스턴스의 암호입니다 Now Platform . 사용자에게 (sn_sec_splunkes.api_account_access) 역할이 있어야 합니다.
      다음 그림은 .Now Platform 이 목록에는 콘솔에서 확장 Splunk Enterprise Security 을 위한 Security Operations 이벤트 수집 추가 기능 Splunk Enterprise Security 설정 ServiceNow 의 일부로 양식에 입력하는 인스턴스의 Now Platform 엔드포인트 값 위치가 표시됩니다.
      기본 API 경로가 강조 표시되어 있습니다.
    3. 콘솔의 Splunk Enterprise Security 설정 양식에서 Save(저장 )를 클릭하여 편집 내용을 저장합니다.

      잠시 후, 콘솔에서 폼 Splunk Enterprise Security 의 왼쪽 상단에 기록이 성공적으로 업데이트되었다는 메시지가 표시됩니다.

      양식을 저장한 후에는 양식에서 생성한 인스턴스의 이름(워크플로우 작업 레이블 Now Platform )을 콘솔에서 검색에서 선택한 이벤트의 이벤트 작업 선택 목록에서 사용할 수 있습니다 Splunk Enterprise Security .

    다음에 수행할 작업

    콘솔에 검색 내용을 Splunk Enterprise Security 아직 저장하지 않은 경우 다음 단계는 검색을 콘솔에 Splunk Enterprise Security 경고로 저장하는 것입니다.