통합 구성 및 활성화 Splunk

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 2분

    • 로그를 자동으로 검색하고 관련 사이팅 정보를 위협 인텔리전스 데이터에 추가하도록 보강 통합을 구성 Splunk 합니다.

    시작하기 전에

    필요한 역할: sn_sec_tisc.admin

    중요사항:
    • 시작하려면 에서 검색 앱을 다운로드 Splunk 합니다.ServiceNow Store
    • 검색 통합을 사용하려면 Splunk 플러그인을 위협 인텔리전스 보안 센터 설치하고 활성화합니다.
    • 인스턴스에서 Splunk API 기준 URL, 링크 URL, 사용자 이름 및 암호를 복사합니다.

    프로시저

    1. 인스턴스에서 위협 인텔리전스 보안 센터로 이동합니다.
    2. ServiceNow Store에서 통합을 다운로드합니다. .
    3. 설치가 완료되면 작업 공간 > 위협 인텔리전스 보안 센터.
    4. 선택 통합 > 보강 통합 > 모든 통합.
    5. 다음으로 이동 통합 > 보강 통합 > 모든 통합 > 검색 찾기
      구성된 통합은 일련의 카드로 나타납니다.
    6. Splunk 검색 카드에서 새 보강 구성을 선택하여 Splunk 검색 통합을 구성합니다.
    7. 새 보강 구성 양식의 필드를 모두 채우십시오.
      표 1. 보강 통합
      필드 설명
      이름 사이팅 검색 구성의 이름입니다.
      벤더 이름 벤더의 이름입니다. 선택한 벤더의 상세 정보가 기본적으로 채워집니다. 예: Splunk.
      통합 유형 선택한 통합의 유형입니다. 예를 들어 위협 조회입니다.
      설명 통합에 대한 설명입니다 Splunk . 예를 들어 보강 통합은 Splunk 배포에서 잠재적으로 악의적인 표시기와 관련된 로그 Splunk 쿼리를 지원함으로써 옵저버블을 조사하는 데 도움이 됩니다.
      통합 구성
      Splunk API 기준 URL 사이트의 기본 URL입니다.Splunk
      링크 URL [선택 사항] 사용 가능한 경우 웹 인터페이스로 연결되는 URL입니다 Splunk .
      사용자 이름 인텔 Splunk 사용자 이름입니다.
      암호 인텔 Splunk 암호입니다.
      최대 행 수 검색할 최대 행 수입니다.
      가장 빠른 결과(일) 일 수 단위로 가장 빠른 결과를 표시합니다.
      검색 결과에 원시 데이터 샘플 포함 선택하면 사이팅 검색 결과에 원시 데이터 샘플이 포함됩니다. 반환되는 데이터의 양은 보안 인시던트 응답 속성의 원시 데이터 속성 행 수에 대한 설정에 따라 다릅니다.
      직접 배포 배포가 온프레미스에 있는지 여부를 나타냅니다.
      MID 서버 활성 MID 서버를 사용하려면 옵션을 선택 하거나 특정 MID 서버 이름을 선택합니다.
      주:
      이 통합을 구성하면 워크플로우가 활성화됩니다. 워크플로우를 관리하려면 다음으로 이동하십시오. 플로우 디자이너 > 플로우 필요한 경우 워크플로우 편집기에서 필요한 사항을 변경합니다.
    8. 저장을 선택하여 변경 내용을 적용합니다.
      통합 상세 정보가 확인되고 기본적으로 통합 상태가 Splunk 꺼져 있습니다.
    9. 통합을 사용하려면 사용을 선택합니다.Splunk

    다음에 수행할 작업

    통합을 구성한 후 에서 옵저버블위협 인텔리전스 보안 센터에 대해 사이팅 검색을 수행하도록 선택할 Splunk 수 있습니다.