엔터프라이즈 보안 설정 구성 Splunk
Splunk ES(엔터프라이즈 보안) 설정을 사용하여 요구 사항에 따라 사전 설정 구성과 해당 값을 수정합니다.
시작하기 전에
필요한 역할: admin
프로시저
- 다음으로 이동 모두 > Splunk ES 통합 > Splunk ES 설정.
-
양식에서 필드를 채웁니다.
표 1. Splunk ES 설정 필드 설명 단일 인시던트로 집계할 수 있는 주목할 만한 이벤트 수를 제한하십시오. 단일 인시던트로 집계하려는 주목할 만한 이벤트 수를 제한하는 옵션입니다. 기본적으로 값은 100으로 설정됩니다.
24시간 동안 만들 수 있는 보안 인시던트 수를 제한하십시오. 24시간 동안 만들 수 있는 보안 인시던트 수를 제한하는 옵션입니다. 기본적으로 값은 1000으로 설정됩니다.
에서 Splunk받은 각 필드에서 구문 분석할 값의 수를 제한하십시오. 에서 Splunk받은 각 필드에 대해 구문 분석하려는 값의 수에 제한을 적용하는 옵션입니다. 기본적으로 값은 1000으로 설정됩니다.
에서 끌어올 상관관계 규칙의 수입니다 Splunk. 검색할 상관관계 규칙의 수를 정의하는 옵션입니다 Splunk. 기본적으로 이 값은 500으로 설정됩니다.
검색 작업에 대한 Splunk TTL(Time-to-Live) 매개변수(초)입니다. 검색을 위한 Splunk TTL(Time-to-Live) 매개변수를 초 단위로 정의하는 옵션입니다. 기본적으로 이 값은 600으로 설정됩니다.
한 번의 검색으로 일괄 처리할 주목할 만한 유형의 수입니다. 단일 검색에서 배치하려는 주목할 만한 유형의 총 수를 정의하는 옵션입니다. 기본적으로 이 값은 20으로 설정됩니다.
검색 작업 메타데이터를 유지할 기간(일)SplunkServiceNow 에서 Splunk 검색 작업 메타데이터 ServiceNow를 유지하려는 일수를 정의하는 옵션입니다. 기본적으로 이 값은 30으로 설정됩니다.
필드 매핑에서 값을 분할할 구분 기호 문자입니다. 필드 매핑에서 값을 분할할 구분 기호 문자를 정의하는 옵션입니다. 기본적으로 값은 (,)로 설정됩니다.
Splunk에서 인덱싱 지연을 제거하기 위해 이벤트를 Splunk 가져오는 동안 추가할 중복 시간(분) 에서 인덱싱 지연Splunk을 극복하기 위해 Splunk 이벤트를 검색하는 동안 추가할 중복 시간(분)을 정의하는 옵션입니다. 기본적으로 이 값은 30으로 설정됩니다.
업데이트된 주목할 만한 이벤트 끌어오기 업데이트된 주목할 만한 이벤트를 검색하는 옵션입니다. 기본적으로 값은 아니요로 설정됩니다.
토큰 기반 인증 지원을 위한 기존 Splunk 소스 구성을 업데이트하려면 이 설정을 활성화합니다. 이 설정을 활성화한 후 토큰 상세 정보로 통합 구성을 업데이트해야 합니다. 기존 Splunk 소스 구성을 기존 버전에서 토큰 기반 인증 지원으로 업데이트하는 옵션입니다. 주:새 버전으로 업그레이드한 후에는 토큰 필드를 사용할 수 없게 됩니다. 토큰 기반 인증을 가져오려면 이 설정을 활성화해야 하며, 그 후에는 토큰 상세 정보로 통합 구성을 업데이트해야 합니다.기본적으로 값은 아니요로 설정됩니다.
- 저장을 클릭합니다.