사용

취리히 보안 관리

Release

zurich

ft:locale

ko-KR

ft:publication_title

취리히 보안 관리

ft:clusterId

security

bundleId

security

workflow

Technology

이벤트 수집 통합을 위한 Splunk Enterprise Security 이벤트 프로파일 생성 및 이름 지정

릴리스 버전: Zurich

업데이트 날짜 2025년 07월 31일

소요 시간: 49분

인스턴스에 이벤트 프로파일을 ServiceNow AI Platform 생성하고 어떤 Splunk 중요 이벤트가 보안 인시던트를 생성하는지 결정합니다.

시작하기 전에

필요한 역할: sn_si.ingestion_profile_admin

주:

sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

이 태스크 정보

SIR수집된 중요 이벤트에서 보안 인시던트가 생성되기 전 ServiceNow AI Platform 보안 인시던트 응답 ()에는 실제 보안 인시던트가 생성되는 방식을 미리 볼 수 있도록 경보의 필드 값이 보안 인시던트의 ServiceNow AI Platform 레이아웃에 표시됩니다.

사용 가능한 API Splunk ES 를 사용하는 통합 관점에서 주목할 만한 이벤트는 개별적인 주목할 만한 이벤트로 개별적으로 수동 전달되거나 정의된 프로파일 유형에 따라 인스턴스 환경 ServiceNow AI Platform 으로 보안 운영 자동으로 수집됩니다.

예를 들어, 통합 워크플로우는 무단 접근 시도 및 맬웨어와 같은 다양한 유형의 주목할 만한 이벤트를 수집합니다. 이러한 주목할 만한 이벤트는 인스턴스 환경에서 구성하는 보안 운영 프로파일에 따라 수집됩니다.

모든 주목 항목은 처음에 프로파일에서 구성된 상관 관계 검색 유형에 대해 수집됩니다. 그런 다음 수집된 유명 인사를 추가로 필터링하여 보안 인시던트를 생성하는 유명 인사를 지정할 수 있습니다. 예를 들어, 고위험으로 식별된 주목할 만한 이벤트에 대해서만 보안 인시던트를 생성하는 필터를 선호할 수 있습니다. 프로필이 활성화되고 수집된 중요 이벤트에서 보안 인시던트를 생성하기 전에 중요 이벤트의 개별 필드 값이 미리 보기에 대한 보안 인시던트 레이아웃의 해당 필드에 매핑됩니다.

프로시저

인스턴스의 이벤트 프로파일 ServiceNow AI Platform 이름은 고유해야 하며 특정 시점에 하나의 활성 이벤트 프로파일에만 매핑할 수 있습니다.
통합 ServiceNow AI Platform 워크플로우를 사용하여 특정 유명 인사를 수집합니다.
콘솔에서 선택 기준을 Splunk ES 충족하는 주목할 만한 모든 중요 이벤트는 처음에 인스턴스에 수집 ServiceNow AI Platform 됩니다.
your ServiceNow AI Platform 의 프로필은 콘솔에서 주목할 만한 이벤트를 캡슐화한 Splunk ES 것입니다.
프로필과 함께 수집되는 주목할 만한 이벤트와 콘솔에 대한 연결 Splunk ES 사이에는 일대일 관계가 있습니다. 즉, 하나의 연결에 대해 하나의 주목할 만한 이벤트 유형이 있습니다.
예약된 주목할 만한 이벤트에 대한 프로파일을 생성하려면 을 참조하십시오 예약된 중요 이벤트 수집을 위한 프로파일 설정.
수동 이벤트 전달을 위한 프로파일을 생성하려면 을 참조하십시오 수동 이벤트 전달을 위한 프로필 설정.

예약된 중요 이벤트 수집을 위한 프로파일 설정

정의된 Splunk ES 프로파일에 따라 중요한 이벤트가 인스턴스 환경 ServiceNow AI Platform 으로 보안 운영 자동으로 수집됩니다.

다음 테이블에는 주목할 만한 이벤트의 예약된 수집을 위한 프로파일을 설정하기 위해 따라야 하는 작업 목록이 나와 있습니다.

표 1. 예약된 중요 이벤트 수집을 위한 프로파일 설정 단계
작업	섹션
이벤트 프로파일 생성	일정이 예약된 중요 이벤트 수집을 위한 프로파일 생성 문서를 참조하십시오.
상관 관계 검색 이름을 기준으로 주목할 만한 이벤트 선택	이벤트 수집 통합을 위한 Splunk ES 프로파일의 상관 관계 규칙 이름을 기반으로 주목할 만한 이벤트 선택 문서를 참조하십시오.
주목할 만한 이벤트 필드 매핑	통합을 위한 Splunk Enterprise Security 주목할 만한 이벤트 필드 매핑 문서를 참조하십시오.
사용자 지정 매핑 생성	중요 이벤트 인시던트 검토 및 기여 이벤트 상세 정보(예약된 수집)에 대한 Splunk ES 매핑 생성 문서를 참조하십시오.
보안 인시던트 미리 보기	이벤트 수집 통합에 Splunk Enterprise Security 대한 보안 인시던트 미리 보기 문서를 참조하십시오.
신규 및 업데이트된 중요 이벤트 예약 및 검색	이벤트 수집 통합을 위해 Splunk Enterprise Security 새롭고 업데이트된 주목할 만한 이벤트 예약 및 검색 문서를 참조하십시오.
SIR 인시던트 상태에 따라 중요한 이벤트 업데이트 및 종결 자동화	SIR 인시던트 상태에 따라 중요한 이벤트 업데이트 및 종결 자동화 문서를 참조하십시오.

일정이 예약된 중요 이벤트 수집을 위한 프로파일 생성

중요한 이벤트를 자동으로 수집하도록 프로필을 설정할 수 있습니다.

시작하기 전에

필요한 역할: sn_si.ingestion_profile_admin

주:

프로시저

인스턴스에서 주목할 만한 이벤트 또는 상관 관계 규칙 유형에 ServiceNow AI Platform 대한 이벤트 프로파일을 생성하려면 다음으로 이동하십시오. Splunk Integration > Splunk 이벤트 프로파일.
이벤트 프로파일 양식이 Splunk 표시되지 않으면 진행률 표시줄에서 이름을 클릭합니다.
새로 만들기를 클릭합니다.

필드에 내용을 입력합니다.

완료된 양식의 예가 테이블 다음에 나옵니다.


필드	설명
이름	프로파일의 고유한 이름입니다. 이름이 고유하지 않으면 오류가 표시되고 중복된 프로파일 이름은 저장되지 않습니다. 인스턴스의 프로파일 이름은 ServiceNow AI Platform 고유해야 합니다.
활성	확인란은 기본적으로 선택이 취소되고 비활성화되어 있습니다. 프로파일을 활성화하기 전에 프로파일의 모든 섹션을 완료해야 합니다.
유형	선택 목록에서 프로파일 유형을 선택합니다. 예약된 이벤트 수집: 이 유형의 프로필은 구성된 일정에 따라 수집되는 중요한 이벤트를 지원합니다. 필드에 내용을 입력합니다. 수동 이벤트 전달: 이 유형의 프로파일은 요청 시 인시던트 검토 콘솔에서 수동으로 Splunk Enterprise Security 전달되는 중요한 이벤트를 지원합니다. 이러한 유형의 프로파일에 대한 양식을 작성하려면 다음 단계를 참조하십시오.
소스	Splunk 주목할 만한 이벤트를 수집하도록 구성한 서버 또는 검색 끝입니다. 여러 Splunk 서버가 구성된 경우 프로파일에 대해 수집할 중요 이벤트 유형에 적합한 서버를 선택합니다. 값을 입력해야 합니다.
순서	기본값은 100입니다. 여러 프로필을 만든 경우 둘 이상의 프로필이 동일한 트리거 조건을 공유할 때 이 값은 런타임 실행 우선 순위를 제공합니다. 숫자가 가장 낮은 프로파일의 워크플로우가 가장 높은 우선순위를 갖습니다.
(선택 사항) 묘사	이 프로파일을 다른 프로파일과 구별하는 데 도움이 되는 추가 텍스트입니다.

다음 그림은 예약된 중요 이벤트 유형에 대해 완료된 양식의 예입니다.

일정이 예약된 중요 이벤트가 있는 프로파일의 경우 프로파일 구성을 계속하려면 하나의 옵션을 선택합니다.

옵션	설명
계속하기	프로파일을 저장하고 이벤트 선택 단계로 진행합니다.
업데이트	이 프로파일에 대한 업데이트를 저장하고 이벤트 프로파일 목록으로 돌아갑니다 Splunk .
저장	이 프로파일을 저장하고 페이지에 남아 있습니다.
삭제	이 프로파일 기록을 삭제하고 이벤트 프로파일 목록으로 돌아갑니다 Splunk .

다음에 수행할 작업

다음 단계는 자동 수집을 위해 중요한 이벤트를 선택하는 것입니다.

이벤트 수집 통합을 위한 Splunk ES 프로파일의 상관 관계 규칙 이름을 기반으로 주목할 만한 이벤트 선택

예약된 중요 이벤트 유형 수집에 대한 프로파일을 생성한 후 해당 중요 이벤트를 보안 인시던트에 ServiceNow AI Platform 보안 인시던트 응답 매핑할 이 프로파일의 상관관계 규칙 이름을 선택합니다Splunk Enterprise Security.

시작하기 전에

필요한 역할: sn_si.ingestion_profile_admin

주:

이 태스크 정보

인스턴스에서 사용 가능한 상관관계 규칙을 ServiceNow AI Platform 확인하여 보안 인시던트를 수집하고 생성하려는 주목할 만한 이벤트 유형을 파악합니다. 상관관계 규칙을 선택합니다. 이 양식의 목록에서 주목할 만한 이벤트를 하나 이상 선택할 수 있습니다.

프로시저

주목할 만한 이벤트 선택 페이지가 표시되지 않으면 진행률 표시줄에서 선택하여 표시합니다.

상관관계 규칙 목록에서 다음 옵션 중 하나를 선택하여 단일 상관관계 규칙 또는 여러 상관관계 규칙을 선택하고 이동한 다음 사용 가능한 열에서 선택됨 열로 이동합니다.

이 양식의 상관관계 규칙 목록은 인시던트 검토 콘솔의 상관관계 규칙 Splunk ES 목록과 일치합니다. 이 양식에는 최대 500개의 상관관계 규칙이 표시됩니다. 목록에 Splunk ES500개가 넘는 상관관계 규칙이 있는 경우 인스턴스의 이 양식 ServiceNow AI Platform 에는 처음 500개의 중요한 이벤트만 표시됩니다.


옵션	설명
상관관계 규칙 목록 검색 필드에 텍스트를 입력합니다.	검색 필드 아래의 열은 입력한 텍스트를 기반으로 사용 가능한 옵션을 사용하여 필터링됩니다. 상관관계 규칙을 선택하고 화살표 키를 사용하여 선택한 경보를 사용 가능 에서 선택됨으로 이동합니다.
상관관계 규칙 목록에서 상관관계 규칙을 두 번 클릭합니다.	선택됨 열이 선택 항목으로 채워집니다.
상관관계 규칙 목록에서 상관관계 규칙을 한 번 클릭합니다.	상관관계 규칙이 선택됩니다. 화살표 키를 사용하여 선택한 상관관계 규칙을 사용 가능 에서 선택됨으로 이동합니다.

계속하려면 하나의 옵션을 선택하십시오.

옵션	설명
계속하거나 진행률 표시줄에서 매핑을 클릭합니다.	매핑 양식이 표시됩니다. 진행률 표시줄에서 매핑이 선택됩니다. 다음 단계는 중요 이벤트 필드를 보안 인시던트에 매핑하는 SIR 것입니다.
업데이트	데이터가 저장되고 Splunk 중요 이벤트 프로파일 목록이 표시됩니다.
이전	이름 단계가 표시됩니다.
삭제	이 이벤트 프로파일을 삭제하면 Splunk 중요 이벤트 프로파일 목록이 표시됩니다.

다음에 수행할 작업

예약된 Splunk Enterprise Security 프로파일에 대한 상관관계 규칙을 성공적으로 선택했습니다. 다음 단계는 중요 이벤트 값을 보안 인시던트의 필드에 매핑하는 것입니다.

통합을 위한 Splunk Enterprise Security 주목할 만한 이벤트 필드 매핑

프로파일에 대한 특정 상관관계 규칙과 중요한 이벤트 유형을 식별한 후 다음 단계는 중요한 개별 이벤트 필드를 (SIR) 보안 인시던트의 ServiceNow AI Platform 보안 인시던트 응답 필드에 매핑하는 것입니다.

매핑 개요

매핑 단계에서는 선택한 상관관계 규칙에 대해 샘플 주목할 만한 이벤트를 수집하거나 수동으로 전달된 주목할 만한 이벤트에 대해 주목할 만한 이벤트 데이터를 익스포트할 수 있습니다. 이벤트 매핑 프로세스는 생성하는 프로파일 유형에 관계없이 동일합니다.

다음 그림은 각 유형의 이벤트 프로파일에 대해 제공되는 기본 매핑 구성의 예입니다. 보안 인시던트를 채우는 필드를 사용자 지정할 수 있습니다. 이 매핑 단계에서는 관련된 모든 중요 이벤트 필드 데이터가 SIR 인시던트 양식의 적절한 위치에 매핑되도록 한 다음 미리 보기 섹션에서 SIR 인시던트를 시각화할 수 있습니다.

여러 상관 관계를 사용하는 경우 필요한 이벤트를 선택하여 주목할 만한 이벤트를 가져올 수 있습니다. 수집하도록 여러 경보를 구성한 경우 경보 이름을 사용하여 경보를 선택합니다.

클릭하여 데이터를 가져오면 Splunk 양식 왼쪽에 주목할 만한 이벤트 필드 이름과 해당 값이 채워집니다. Splunk 보안 인시던트 필드에 매핑할 수 있는 주목할 만한 이벤트 필드입니다SIR. 일부 필드는 SIR 보안 인시던트 필드에 여러 번 매핑될 수 있습니다.

콘솔에서 필드 매핑 구성 단계를 위해 수집할 몇 가지 중요한 이벤트 Splunk 샘플을 검토하는 것이 좋습니다. 이 단계는 진행률 표시줄에 매핑이라는 레이블이 지정됩니다. 이 페이지가 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다. 에서 주목할 만한 이벤트 Splunk Enterprise Security 샘플을 최대 5개까지 수집하여 주목할 만한 이벤트 필드 매핑 프로세스를 지원할 수 있습니다. 선택한 상관관계 규칙에 대해 가장 최근의 5개의 주목할 만한 이벤트를 수집하거나 주목할 만한 이벤트 ID를 기반으로 최대 5개의 특정 주목할 만한 이벤트를 수집할 수 있는 옵션이 있습니다.

다음은 주목할 만한 이벤트를 매핑하는 데 필요한 단계를 요약한 것입니다.

예약된 주목할 만한 이벤트 샘플 데이터 수집: 자동으로 수집된 주목할 만한 이벤트 프로파일에 사용되는 샘플 데이터의 경우, 샘플 데이터가 검색되면 사용 가능한 주목할 만한 이벤트 필드와 해당 값이 매핑 양식의 왼쪽에 있는 기본 매핑 레이아웃에 표시됩니다. 끌어온 특정 중요 이벤트 ID의 값을 볼 수 있는 탭이 표시됩니다. 양식 왼쪽에 있는 중요 이벤트 샘플 수집 섹션의 모든 중요 필드가 양식 오른쪽에 있는 보안 인시던트 필드에 매핑 ServiceNow 되는지 확인합니다.
필드 매핑: 왼쪽에서 주목할 만한 이벤트 필드를 오른쪽의 SIR 인시던트 매핑 섹션에 끌어서 ServiceNow 놓아 매핑 구성을 편집합니다. 오른쪽의 매핑은 들어오는 중요 이벤트 필드를 나가는 보안 인시던트 필드와 연결합니다.
매핑 환경: SIR 인시던트 필드 매핑 섹션 하단에 있는 + 아이콘을 사용하여 필드를 추가하거나 제거하여 매핑 그리드를 사용자 지정합니다. 제공된 색상 코딩으로 간과되거나 중복된 필드를 추적합니다(매핑된 필드는 회색으로 표시되고 파란색 필드는 매핑되지 않음).
인시던트 생성 조건: 매핑 섹션이 완료되면 필터 조건을 설정하여 보안 인시던트를 생성할 중요 이벤트와 필터링할 중요 이벤트(예: 우선순위가 낮은 중요 이벤트)를 지정할 수 있습니다. 이 작업은 중요 이벤트 매핑 섹션 아래에 있는 인시던트 생성 조건 섹션에서 수행됩니다.
이벤트 집계 기준: 중복될 가능성이 있는 유사한 인시던트를 생성하는 대신 수신되는 중요 이벤트를 기존 SIR 보안 인시던트로 집계하는 추가 이벤트 집계 기준을 정의합니다. 이 추가 집계 기능은 각 프로파일에 대해 필드 일치 값 기준을 사용하여 모든 관련 보안 중요 이벤트 데이터를 단일 보안 인시던트에 배치함으로써 활성 상태의 중복 보안 인시던트 수를 줄일 수 있습니다.
필드 형식 변환: 경우에 따라 엔터프라이즈 중요 이벤트의 이벤트 필드 값이 Splunk 보안 인시던트의 SIR 필드로 직접 변환되지 않을 수 있습니다. 이러한 값의 경우 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값에 대한 형식을 지정할 수 있습니다. 비슷하지만 동일하지는 않은 값의 형식을 지정하려면 스크립트 편집기를 사용하십시오. 예를 들어 스크립트 편집기를 사용하면 맬웨어 경보 및 바이러스 감염의 범주 값이 소스 범주에 대해 다를 수 있지만 두 값 모두 필드 번역 서식 지정 기능을 사용하여 보안 인시던트의 SIR 범주 필드에서 공통 악성 코드 활동으로 변환할 수 있습니다.

다음 단계는 중요 이벤트를 수집하고 값을 보안 인시던트 필드에 매핑하는 SIR 것입니다.

중요 이벤트 인시던트 검토 및 기여 이벤트 상세 정보(예약된 수집)에 대한 Splunk ES 매핑 생성

중요 이벤트 필드 매핑 단계에서는 중요 이벤트의 개별 이벤트 필드를 (SIR) 보안 인시던트의 필드로 매핑합니다 ServiceNow AI Platform 보안 인시던트 응답 .

시작하기 전에

필요한 역할: sn_si.ingestion_profile_admin

주:

이 태스크 정보

매핑 그리드는 상관관계 규칙 선택에서 선택한 주목할 만한 이벤트 유형에 대해 사용자 지정할 수 있습니다. 이벤트 필드의 색상 코딩은 이미 매핑한 이벤트 값이 회색으로 표시되고 나머지 매핑되지 않은 필드는 모두 파란색으로 나타날 때 추적하는 데 도움이 됩니다. 이렇게 하면 보안 인시던트에 추가된 필드 값과 나머지 중요 이벤트 정보가 매핑되지 않은 상태로 남아 있는지 더 잘 시각화할 수 있습니다.

양식 왼쪽의 중요 이벤트 샘플 수집 열에서 최대 5개의 중요 이벤트를 오른쪽에 있는 SIR 인시던트 필드 매핑 열의 보안 인시던트 필드에 매핑합니다.

양식의 오른쪽에 있는 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 매핑을 생성합니다. 보안 인시던트 응답 양식에 채워야 하는 일반적으로 중요한 필드인 기본 필드가 표시됩니다. 그러나 이러한 필드를 제거할 수 있으며 + 및 - 버튼을 사용하여 추가 필드를 표시할 수 있습니다. 양식 오른쪽의 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 맵을 생성합니다. 필드를 사용자 지정하면 보안 인시던트의 기본 매핑 그리드에 표시되지 않는 필드를 매핑 Splunk 할 수 있습니다 SIR .

프로시저

매핑 양식이 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다.
예약된 수집이 있는 프로필의 경우 주목할 만한 이벤트 샘플 수집 아래에서 샘플 데이터 가져오기 를 클릭하여 선택한 상관관계 규칙에 대해 콘솔에서 최신 샘플 주목할 만한 이벤트를 Splunk Enterprise 가져옵니다.

주:
가장 최근의 샘플 주목할 만한 이벤트를 끌어오거나 주목할 만한 이벤트 매핑 경험에 사용할 특정 주목할 만한 이벤트의 고유한 주목할 만한 이벤트 ID를 제공할 수 있습니다.

주목할 만한 이벤트 필드와 값 결과는 개별 탭으로 표시됩니다. 주목할 만한 이벤트를 최대 5개까지 수집할 수 있습니다.

주목할 만한 샘플 이벤트를 끌어오는 데 몇 분 정도 걸릴 수 있습니다. 트랜잭션이 작동 중임을 나타내는 메시지가 화면 맨 위에 표시됩니다.

다음 그림에서는 수집 끌어오기가 완료된 후 수집된 주목할 만한 이벤트 또는 임포트된 샘플 이벤트에 대한 필드 이름 값 쌍이 이 양식의 왼쪽에 표시됩니다. 이러한 값은 양식의 SIR 인시던트 필드 매핑 측면에 있는 보안 인시던트 필드에 매핑하는 값입니다.
양식 왼쪽의 필드 값을 양식 오른쪽에 있는 보안 인시던트의 필드에 매핑하려면 양식 왼쪽에 있는 파란색 필드 이름을 길게 클릭합니다.
필드 이름(예: rule_name)을 끌어서 보안 인시던트 열의 필드 이름 옆에 있는 입력 식 열의 필드에 놓습니다.

필드 값이 입력 식 열에 표시됩니다. 다음 이미지에서 rule_name 보안 인시던트의 간단한 설명 필드에 매핑되어 있습니다. 그러나 왼쪽의 모든 값을 오른쪽의 필드와 일치시킬 수 있습니다. 미리 보기 단계에서 보안 인시던트에 값이 올바르게 매핑되었는지 확인합니다.

매핑 프로세스에서 이벤트 필드가 간과되거나 중복되지 않도록 하기 위해 필드는 색으로 구분됩니다. 왼쪽의 연한 파란색 필드는 주목할 만한 이벤트 필드가 아직 선택되지 않았으며 보안 인시던트에 매핑되지 않았음을 나타냅니다. 수신되는 주목할 만한 필드를 보안 인시던트의 둘 이상의 필드와 연결하는 것을 선호할 수 있습니다.

회색 필드는 필드가 선택되었고 보안 인시던트의 필드에 매핑되었음을 나타냅니다. 이 색상 코딩은 매핑을 추적하는 데 도움이 됩니다.
양식 오른쪽의 보안 인시던트에 표시되는 기본 필드에 필드를 추가하려면 다음 단계를 따르십시오.
1. 양식 오른쪽의 SIR 인시던트 필드 매핑 섹션 그리드 하단에서 더하기 아이콘을 클릭합니다.
  새 필드가 표시됩니다.
2. 보안 인시던트 열에서 표시되는 목록을 확장하고 필드를 선택합니다.
  
  새 필드의 확장된 목록에서 일부 필드는 음영 처리됩니다. 다음 그림에서 rule_name 는 보안 인시던트에 매핑되었기 때문에 회색 배경입니다. 양식 왼쪽에 있는 중요 이벤트 필드에 대한 색상 코딩과 유사하게 오른쪽에 있는 보안 인시던트 필드에 대한 이 색상 코딩은 이미 매핑된 SIR 인시던트 필드를 추적하는 데 도움이 됩니다.
  
  주:
  동일한 보안 인시던트에 여러 옵저버블을 표시할 수 있도록 옵저버블 필드를 서로 다른 값으로 여러 번 매핑할 수 있습니다. 마찬가지로 구성 항목 및 작업 메모 필드는 여러 값을 지원합니다. 여러 값을 지원할 수 없는 필드에 두 값을 매핑하려고 하면 인시던트를 미리 볼 때 필드에 값이 없다는 오류 메시지가 표시됩니다. 마찬가지로 보안 인시던트의 필드에 여러 옵션을 선택할 수 있는 목록이 있고 목록에 표시되지 않은 해당 필드에 옵션을 매핑하려고 하면 보안 인시던트에 필드가 채워지지 않습니다.
3. 또는 새 행의 검색 필드에 값을 입력합니다.
4. 폼의 왼쪽에서 마우스 왼쪽 버튼을 클릭하여 입력 식 필드에서 원하는 이벤트 ID 를 선택합니다.
매핑에 필드 값을 추가하거나 제거하여 매핑을 계속합니다.
다음 그림은 편집된 매핑의 예입니다. 오른쪽의 하단 필드에는 작업 메모 필드가 추가되며 둘 이상의 값이 있습니다. 긴 텍스트 문자열 필드의 경우 매핑 필드를 확장하여 전체 문자열을 확인하고 아래 스크린샷에 표시된 대로 필드의 오른쪽 아래 모서리를 당겨 필요에 따라 작업 메모 필드를 추가하여 크기를 조정할 수 있습니다.

경고:
SIR 인시던트 필드 매핑 섹션에서 입력 식 필드에 나와 있는 URL 및 포트 번호는 예시일 뿐이며 바로 사용 가능한 URL 또는 포트 번호가 아닙니다.

미리 보기에서 이러한 값은 보안 인시던트의 작업 메모에 표시됩니다. 이 값은 매핑 섹션에 추가한 필드에 대한 것이고 작업 메모 필드에 매핑된 값이 여러 개 있기 때문에 입력한 대로 값이 표시됩니다. 이 예에서는 필드에 입력한 공백과 구두점이 관련 항목 섹션에 보안 인시던트 미리 보기의 작업 메모로 표시됩니다.

다음 이미지는 이전 이미지의 값이 보안 인시던트에 표시되는 방식의 예입니다.
SIR의 매핑된 필드에 대한 업데이트를 수신하려면 입력 식에 대해 업데이트 사용 확인란을 선택합니다.
옵션: 앞의 필드 매핑 단계를 완료한 후 인시던트 작성 조건 작성기에서 동일한 필드 값을 사용하여 들어오는 중요 이벤트가 보안 인시던트를 만들기 위해 충족해야 하는 추가 기준을 정의할 수 있습니다 SIR .
인시던트 생성 조건을 설정하려면 다음 단계를 수행합니다.
1. 양식에서 인시던트 생성 조건 섹션으로 스크롤하고 조건을 기준으로 필터링 확인란을 선택하여 옵션을 활성화합니다.
  
  필터 조건 작성기가 표시됩니다. 이러한 필터를 사용하여 필드에 설명된 특정 조건과 일치하는 보안 인시던트를 생성합니다.
  
  필터 조건 작성기의 첫 번째 필드에 대한 목록의 옵션은 수집한 이벤트에 대한 중요 이벤트 샘플 수집 섹션에 표시되는 필드와 일치합니다. 이러한 필드는 동적이며 수집하는 중요한 이벤트 또는 수동으로 전달된 중요한 이벤트 샘플에 대해 선택한 이벤트에 따라 Splunk 변경됩니다. 입력하는 기준은 대/소문자를 구분하며 주목할 만한 이벤트의 값과 Splunk Enterprise Security 정확히 일치해야 합니다. 필터 필드에 입력할 값을 잘 모르는 경우에는 콘솔로 돌아가서 Splunk Enterprise Security 키워드에 대한 중요 이벤트를 검토하는 것이 좋습니다.
2. 조건 작성기의 목록과 필드를 사용하여 첫 번째 행에 대한 필터를 설정합니다.
3. 조건을 더 추가하려면 필드 오른쪽에서 AND 또는 OR을 클릭합니다.
  AND를 선택하면 모든 조건이 일치해야 합니다. OR을 선택하면 두 조건을 일치시킬 수 있습니다.
4. 옵션: 두 번째 행에서 두 번째 필터 조건을 설정합니다.
  
  다음 이미지는 보안 인시던트가 생성되기 전에 일치해야 하는 두 가지 조건이 있는 예입니다.
  
  입력한 두 필터링 조건이 모두 일치하는 경우에만 보안 인시던트가 생성되도록 인시던트 생성 조건을 설정했습니다.
  
  이러한 유형의 인시던트 생성 조건 필터링을 사용하면 보안 이벤트 범위를 좁히고 에서 기본 상관관계 검색 또는 필터를 수정하지 않고도 생성되는 불필요한 보안 인시던트 수를 제한할 수 Splunk있습니다. 추가 필터링 기준이 설정되면 모든 기준과 일치하는 주목할 만한 이벤트만 인시던트에 매핑됩니다.
  
  주:
  이벤트 필드 이름에 따옴표("), 하이픈('), 밑줄(-), at(@) 또는 앰퍼샌드(&)와 같은 특수 문자가 있는 경우 매핑 번역을 위해 이러한 문자를 대체해야 할 수 있으며 중복 이벤트 이름이 작성될 수 있습니다. 매핑을 적절히 수행할 수 있지만 중복된 이벤트 이름이 있는 필드를 구분하기 위해 숫자 접미사가 추가됩니다. 예를 들어 첫 번째 이벤트 필드가 alerts.alert 이고 두 번째 이벤트 필드가 alerts@alerts인 경우 나머지 표준 텍스트 문자가 동일하므로 이러한 필드를 고유하게 식별할 수 없습니다. 이 경우 두 번째 이벤트 필드에 접미사가 추가되고 필드 이름이 alerts@alert(1)로 바뀝니다.
유사한 주목할 만한 사건을 처리하고 중복 인시던트를 방지하기 위한 이벤트 집계 기준
옵션: 중복 보안 인시던트 생성을 방지하려면 들어오는 주목할 만한 이벤트가 미해결 보안 인시던트로 집계되도록 추가 이벤트 집계 기준을 정의합니다.
기준을 설정하려면 아래 단계를 수행합니다.
1. 양식의 이벤트 집계 기준 섹션으로 스크롤하고 집계 조건 확인란을 선택하여 이 옵션을 활성화합니다.
  
  일치하는 값이 있는 인시던트 필드가 표시됩니다. 이러한 필드 이름은 보안 인시던트에 구성된 SIR 사용자 지정 필드를 포함하는 보안 인시던트의 필드입니다.
2. 다중 선택 입력 필드에서 의 기존 보안 인시던트 ServiceNow AI Platform와 일치시킬 필드 값을 선택합니다.
3. 새 기준 추가를 사용하여 여러 필드 일치 조건을 선택합니다.
  다중 선택 입력 필드에서 선택하는 모든 필드 값은 AND 조건을 사용하여 집계 기준에 대해 일치합니다. 새 기준 추가를 클릭하여 정의된 다중 선택된 필드 조건 중 하나가 OR 조건을 사용하여 충족되면 집계가 발생하는 여러 필드 일치 조건을 선택합니다.
  
  새로운 주목할 만한 이벤트가 매핑 단계의 집계 필드 조건에서 선택된 모든 값과 일치할 경우, 새로운 주목할 만한 이벤트는 동일한 필드 값을 가진 가장 최근에 열린 보안 인시던트에 자동으로 추가됩니다. 보안 인시던트를 담당하는 sn_si.analyst 역할을 가진 사용자는 보안 인시던트의 관련 목록에서 추가된 모든 주목할 만한 이벤트 집계를 볼 수 있습니다. 보안 인시던트에 대해 집계된 모든 중요 이벤트가 작업에 대한 이벤트 관련 목록에 표시됩니다 Splunk . 이 목록에는 관련 타임스탬프 및 집계된 필드 값이 자세히 설명되어 있습니다. 이 정보는 이러한 중요 이벤트가 기존 보안 인시던트에 집계되는 이유를 이해하는 데 도움이 됩니다. 이 탭이 표시되지 않으면 관련 링크 아래에 있는 기록의 왼쪽으로 스크롤하여 모든 관련 목록 표시 링크를 클릭합니다.
4. 옵션: 최근에 보안 인시던트에 추가된 새로운 중요 이벤트에 대한 작업 메모를 기록하려면 이 옵션을 활성화하는 확인란을 선택합니다.
  작업 메모는 경보 상세 정보 및 매핑 섹션의 작업 메모 필드에 추가되었을 수 있는 기타 상세 정보에 대한 링크와 함께 새로운 주목할 만한 항목이 추가되었음을 기록합니다.
중요 이벤트의 값을 Splunk 보안 인시던트의 SIR 필드에 매핑했습니다. 또한 인시던트 생성 필터링 기준을 사용하여 보안 인시던트 생성을 제한하는 추가 조건을 구성했습니다. 또한 이벤트 필드 값이 구성된 집계 기준과 일치할 때 중요 이벤트를 기존 SIR 보안 인시던트에 추가했습니다.

하나를 선택하여 프로파일 구성을 계속합니다.

옵션	설명

계속하기	매핑 양식이 표시됩니다. 진행률 표시줄에서 미리 보기가 선택됩니다. 다음 단계는 보안 인시던트에서 SIR 매핑한 필드를 미리 보는 것입니다.
업데이트	데이터가 저장되고 Splunk 이벤트 프로파일 목록이 표시됩니다.
이전	주목할 만한 이벤트 선택 양식이 표시됩니다.
삭제	이 이벤트 프로파일을 삭제하면 Splunk 이벤트 프로파일 목록이 표시됩니다.

다음에 수행할 작업

다음 단계는 보안 인시던트에 매핑한 값을 미리 보는 것입니다.

이벤트 수집 통합에 Splunk Enterprise Security 대한 보안 인시던트 미리 보기

매핑 단계를 완료한 후 (SIR) 보안 인시던트에서 ServiceNow AI Platform® 보안 인시던트 응답 매핑한 값을 미리 봅니다. 이 미리 보기 단계를 사용하면 보안 인시던트에 표시할 중요한 필드를 모두 매핑했는지 확인할 수 있습니다.

시작하기 전에

필요한 역할: sn_si.ingestion_profile_admin

주:

이 태스크 정보

보안 인시던트를 미리 보고 필요에 따라 매핑을 다시 편집하여 오류가 있는 필드를 수정하거나 누락된 데이터를 채웁니다. 미리 보기가 성공적으로 완료되지 않으면 예약 단계로 진행할 수 없습니다. SIR 보안 인시던트 미리 보기는 제품에 실제 인시던트 SIR 로 저장되지 않습니다.

프로시저

보안 인시던트 미리 보기가 표시되지 않으면 진행률 표시줄에서 미리 보기를 클릭합니다.
이벤트 이름 선택 목록에서 여러 이벤트가 사용된 경우 항목을 선택합니다.
샘플 주목할 만한 이벤트 ID 선택 목록에서 이벤트 ID를 선택합니다.
샘플 중요 이벤트 ID 선택 목록에서 항목을 선택합니다.

보안 인시던트가 표시됩니다. 필드의 정보를 변경하지 마십시오. 이 뷰는 읽기 전용 뷰이며 이 보안 인시던트의 기록은 저장되지 않습니다.
보안 인시던트에서 중요한 이벤트 값의 필드 매핑을 검토합니다.

앞의 이미지는 매핑 오류가 있는 미리 보기의 예입니다. 이 예에서는 중요 이벤트의 필드 값이 SIR 인시던트 양식의 참조 필드에 허용되는 값을 갖지 않습니다. 고객 관리 데이터베이스(CMDB)의 ServiceNow®구성 항목 필드에 대한 입력 값을 찾을 수 없다는 오류 메시지가 표시됩니다. 따라서 이 매핑된 필드 값은 추가 수정 없이 SIR 보안 인시던트 양식에 표시되지 않습니다.
이 오류를 해결하려면 진행률 표시줄에서 매핑 을 클릭합니다.
매핑을 편집하여 잘못된 값을 수정하거나 누락된 데이터를 채웁니다.
매핑을 다시 미리 보고 오류 메시지에 설명된 오류를 계속 수정합니다.

다음 그림은 모든 오류 메시지가 해결된 후 보안 인시던트 하단 절반 SIR 에 있는 인시던트 상세 정보 탭의 예입니다. 이 예에서는 설명 및 작업 메모 필드가 매핑되었으며, 이러한 필드는 주목할 만한 이벤트 샘플에서 가져온 값 쌍의 Splunk Enterprise Security 값으로 채워집니다. 첫 번째 작업 메모 필드에는 값이 없습니다. 이 필드는 매핑 단계 동안 매핑 그리드에서 비어 있었습니다. 값이 있는 추가 작업 메모 필드가 매핑 섹션에 추가되었습니다.

오류를 수정하고 필드가 원하는 방식인지 확인한 후 계속하려면 하나의 옵션을 선택합니다.

옵션	설명
계속하기	예약된 중요 이벤트가 있는 프로파일에 대해 일정 양식이 표시됩니다. 스케줄링 이 진행률 표시줄에서 선택됩니다.
마침	수동 이벤트 전달이 구성된 프로필의 경우 마침을 클릭합니다. 요청 시 콘솔에서 직접 Splunk Enterprise Security 익스포트하는 이벤트 데이터가 있는 프로파일에 대한 예약 단계는 없습니다.
업데이트	데이터가 저장되고 이벤트 프로파일 목록으로 돌아갑니다 Splunk .
이전	진행률 표시줄에 매핑 단계가 표시됩니다.
삭제	이 이벤트 프로파일을 삭제하면 Splunk 이벤트 프로파일 목록이 표시됩니다.

다음에 수행할 작업

오류 메시지가 표시되지 않고 보안 인시던트의 필드 매핑에 만족하는 경우 다음 단계는 수행 통합에 대한 Splunk Enterprise Event Ingestion 경보 예약 및 검색입니다.

이벤트 수집 통합을 위해 Splunk Enterprise Security 새롭고 업데이트된 주목할 만한 이벤트 예약 및 검색

자동화된 주목할 만한 이벤트 수집 프로파일의 경우 이벤트 프로파일 구성에 이 단계가 필요합니다. 이 단계에서 중요 이벤트 검색에 대한 기본 설정을 확인하거나 필요에 따라 일정을 수정할 수 있습니다. 또한 이 단계에서는 날짜 범위를 사용하여 과거의 주목할 만한 이벤트를 검색할 수 있습니다.

시작하기 전에

필요한 역할: sn_si.ingestion_profile_admin

주:

이 태스크 정보

자동화된 주목할 만한 이벤트 수집을 위한 프로필의 경우 스케줄링 단계에서 과거의 주목할 만한 이벤트를 수집할지 여부를 선택합니다. 또한 경보 프로파일 구성과 일치하는 새로운 주목할 만한 이벤트 및 업데이트된 주목할 만한 이벤트를 폴링할 빈도를 선택합니다.

자동화된 중요 이벤트 수집 프로파일의 경우 프로파일이 활성화되기 전에 일정 및 경보 검색을 확인하고 수정합니다. 이 단계는 예약된 경보 프로파일에 대한 모든 이벤트 프로파일 구성 프로세스에 필요한 단계입니다.

프로파일별로 이러한 폴링 간격을 구성합니다. 이벤트 수집 통합의 Splunk 성능은 다른 폴링 간격의 영향을 받을 수 있습니다. 일정을 세울 때, 서버에서 폴링 오버헤드를 Splunk Enterprise Security 줄이는 것과 주목할 만한 이벤트가 생성되거나 업데이트될 때 가능한 한 빨리 알림을 받으려는 욕구 사이에서 균형을 맞추는 것이 좋습니다. 모든 프로파일에 대해 5분 기본값이 설정되어 있지만 필요한 경우 이 설정을 1분 정도로 수정하는 것을 선호할 수 있습니다.

신규 및 업데이트된 주목할 만한 이벤트 끌어오기

폴링 일정이 설정되면 예약된 작업은 이전에 끌어왔지만 인시던트 필터링 기준을 충족하지 않는 신규 및 업데이트된 중요 이벤트를 모두 가져옵니다. 따라서 주목할 만한 이벤트가 처음 생성될 때는 존재하지 않을 수 있지만 업데이트가 발생한 후(예: 조사 단계 동안) 사용할 수 있는 기준에 따라 인시던트를 유연하게 생성할 수 있습니다. 특정한 주목할 만한 사건에 대한 인시던트가 생성되면 해당 주목할 만한 사건이 활성 ServiceNow® 보안 인시던트로 처리될 것으로 예상되므로 후속 업데이트는 무시됩니다. 그러나 이전에 수집되었지만 인시던트 생성 기준을 충족하지 못한 다른 모든 주목 항목은 활성 인시던트의 일부가 될 때까지 계속해서 인시던트 생성 기준에 대해 끌어오고 확인됩니다.

프로시저

진행률 표시줄에 스케줄링 페이지가 표시되지 않으면 스케줄링을 선택합니다.

콘솔에서 주목할 만한 이벤트를 끌어오는 Splunk Enterprise Security 방법과 시기를 예약하려면 하나를 선택합니다.

옵션	설명
진행 중인 이벤트 수집 필드 선택됨 일회성 검색 필드 지워짐	진행 중 이벤트 기본 설정에 ServiceNow AI Platform 따라 인스턴스는 5분마다 서버에서 새로운 이벤트와 업데이트된 중요 이벤트를 끌어옵니다 Splunk Enterprise Security . 중요 이벤트가 발견되고 인시던트 생성 필터링 기준이 일치하면 보안 인시던트가 생성됩니다. 최신 데이터를 가져오려는 수집 폴링 오버헤드의 균형을 맞추기 위해 5분이 기본 설정입니다. 그러나 필요한 경우 이 값을 1분 정도로 낮게 수정할 수 있습니다.
진행 중 주목할 만한 이벤트 필드 지워짐 일회성 검색 필드 선택됨	일회성 검색 일회성 끌어오기를 통해 과거의 주목할 만한 이벤트를 수집하려는 경우 이 구성을 사용합니다. 이 설정을 구성하면 프로파일이 한 번 사용되어 날짜 범위를 기반으로 하는 기록 이벤트에서 주목할 만한 이벤트를 검색합니다. 날짜 이후 필드 오른쪽에서 달력 아이콘을 클릭합니다. 표시되는 달력에서 경보 가져오기를 시작할 날짜를 선택합니다. 이후 날짜 값부터 현재 날짜까지 주목할 만한 이벤트가 검색됩니다. 현재 날짜로부터 최대 7일 전으로 거슬러 올라갈 수 있습니다. 이 기능은 보관상의 이유로 상당한 양의 기록 이벤트를 Splunk Enterprise Security 검색하기 위한 것이 아니라 프로필 활성화 시 활발하게 작업 중인 최소한의 기내 이벤트를 검색하기 위한 것입니다. 주목할 만한 이벤트를 끌어온 후 이 설정은 현재 날짜로부터 앞으로 진행되는 이 프로필에 대한 더 중요한 이벤트를 검색하지 않습니다. 이 설정은 입력한 범위에서 발견된 모든 중요 이벤트로 보안 인시던트를 채웁니다.

옵션

설명

진행 중인 이벤트 수집 필드 선택됨
일회성 검색 필드 지워짐

진행 중 이벤트

기본 설정에 ServiceNow AI Platform 따라 인스턴스는 5분마다 서버에서 새로운 이벤트와 업데이트된 중요 이벤트를 끌어옵니다 Splunk Enterprise Security . 중요 이벤트가 발견되고 인시던트 생성 필터링 기준이 일치하면 보안 인시던트가 생성됩니다. 최신 데이터를 가져오려는 수집 폴링 오버헤드의 균형을 맞추기 위해 5분이 기본 설정입니다. 그러나 필요한 경우 이 값을 1분 정도로 낮게 수정할 수 있습니다.

진행 중 주목할 만한 이벤트 필드 지워짐
일회성 검색 필드 선택됨

일회성 검색

일회성 끌어오기를 통해 과거의 주목할 만한 이벤트를 수집하려는 경우 이 구성을 사용합니다.

이 설정을 구성하면 프로파일이 한 번 사용되어 날짜 범위를 기반으로 하는 기록 이벤트에서 주목할 만한 이벤트를 검색합니다. 날짜 이후 필드 오른쪽에서 달력 아이콘을 클릭합니다. 표시되는 달력에서 경보 가져오기를 시작할 날짜를 선택합니다. 이후 날짜 값부터 현재 날짜까지 주목할 만한 이벤트가 검색됩니다. 현재 날짜로부터 최대 7일 전으로 거슬러 올라갈 수 있습니다. 이 기능은 보관상의 이유로 상당한 양의 기록 이벤트를 Splunk Enterprise Security 검색하기 위한 것이 아니라 프로필 활성화 시 활발하게 작업 중인 최소한의 기내 이벤트를 검색하기 위한 것입니다.

주목할 만한 이벤트를 끌어온 후 이 설정은 현재 날짜로부터 앞으로 진행되는 이 프로필에 대한 더 중요한 이벤트를 검색하지 않습니다. 이 설정은 입력한 범위에서 발견된 모든 중요 이벤트로 보안 인시던트를 채웁니다.

초기 중요 이벤트 수집 시간을 예약하는 예로, 현지 시간으로 하루에 한 번 실행되는 일일 Splunk 보안 검사가 있는 경우, 인스턴스에서 해당 중요 이벤트 프로파일 ServiceNow AI Platform 이 현지 시간으로 오전 4시 5분에 실행되도록 설정하여 보안 장애 이벤트를 즉시 캡처하고 보안 인시던트를 생성할 수 있습니다. 초기 이벤트 수집 필드에 04 05 00 을 입력합니다. 증분(분) 필드에 1440 (24시간)을 입력하여 초기 이벤트 수집으로부터 24시간 동안 다음 이벤트 수집을 예약합니다. 초기 이벤트 수집 시간과 다음 이벤트 수집 시간이 모두 필드에 표시됩니다.

이 예제의 설정을 구성하려면 다음 단계를 수행합니다.
1. 예약 페이지가 표시되면 진행 중인 이벤트 수집 확인란을 선택하여 이 옵션을 활성화합니다.
2. 증분(분) 필드에 1440 (24시간)을 입력합니다.
3. 초기 이벤트 수집 선택 확인란을 클릭하여 초기 이벤트 수집 및 다음 이벤트 수집 필드를 편집할 수 있습니다.
4. 초기 이벤트 수집 필드에 04 05 00을 입력합니다.
  다음 이벤트 수집(예상) 필드에 다음 이벤트 수집 시간이 표시됩니다.

다음 중 하나를 클릭하여 프로파일 구성을 계속합니다.

옵션	설명
계속하기	추가 옵션 양식이 표시됩니다. 추가 옵션이 진행률 표시줄에서 선택됩니다. 다음 단계는 SIR 인시던트가 생성 및/또는 종결될 때 중요 이벤트를 업데이트하는 것입니다.
업데이트	데이터가 저장되고 Splunk 이벤트 보안 프로파일 목록이 표시됩니다.
이전	일정 양식이 표시됩니다.
삭제	이 이벤트 프로파일을 삭제하면 Splunk Enterprise Security 이벤트 프로파일 목록이 표시됩니다.

SIR 인시던트 상태에 따라 중요한 이벤트 업데이트 및 종결 자동화

보안 인시던트는 통합과의 Splunk Enterprise Security 양방향 인터페이스를 사용하여 생성된 후 생성 및 업데이트할 수 있습니다.

시작하기 전에

통합 Splunk Enterprise Security 에는 중요한 이벤트가 보안 인시던트를 생성하고 보안 인시던트가 생성 및/또는 종결된 후 중요한 이벤트를 업데이트할 수 있는 양방향 인터페이스가 있습니다.

관련 인시던트 상세 정보에는 인시던트 번호, 할당 그룹, SIR 인시던트 URL이 포함됩니다SIR. 이 섹션은 중요한 이벤트를 업데이트할 Splunk Enterprise Security 수 있는 선택적 기능을 제공하는 프로필 구성 설정의 마지막 부분입니다.

필요한 역할: sn_si.ingestion_profile_admin

주:

프로시저

진행률 표시줄에 추가 옵션 페이지가 표시되지 않으면 추가 옵션을 선택합니다.

아래 지침에 따라 보안 인시던트 업데이트를 기반으로 중요한 이벤트를 업데이트하기 위한 구성을 완료하십시오.

옵션 또는 필드	설명
SIR 인시던트 작성 시 주목할 만한 이벤트 업데이트	주목할 만한 이벤트 상태를 업데이트하고 주목할 만한 이벤트에서 보안 인시던트가 생성될 때 설명을 추가하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 생성하는 주목할 만한 초기 이벤트 트리거와 집계된 이벤트 모두에 대해 발생할 수 있습니다.
초기 주목할 만한 이벤트 상태 업데이트	서버에서 검색된 모든 사용 가능한 상태 값을 표시하는 메뉴에서 상태 Splunk Enterprise Security 옵션을 선택해야 합니다. 여기에는 아래 스크린샷과 같이 사용자 지정 생성 상태(예: ServiceNow 할당됨)가 포함될 수 있습니다. 수집된 중요 이벤트에 대한 보안 인시던트가 생성될 때 모든 중요 이벤트에 대해 설정할 상태 값을 선택합니다. 여기에는 새 인시던트를 생성하는 유명 인사와 기존의 미결 인시던트에 수집되고 집계되는 유명 인사가 포함됩니다.
주목할 만한 이벤트에 다시 게시된 초기 설명	중요 상태 값을 업데이트하는 것 외에도 중요 이벤트 인시던트 검토 이력에 설명을 게시할 수도 있습니다. 지침에 나와 있는 대로, 인시던트 양식의 필드에 보안 인시던트 응답 $$ 형식을 사용하여 대체 변수를 추가하거나 수정하는 등 의견 섹션에 표시된 기본 텍스트를 편집할 수 있습니다.
SIR 인시던트 종결 시 주목할 만한 이벤트 종료	주목할 만한 이벤트 상태를 업데이트하고 주목할 만한 이벤트에서 보안 인시던트가 종결될 때 코멘트를 추가하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 생성하는 초기 트리거 중요 이벤트와 집계된 이벤트 모두에 대해 발생합니다.
종결 주목할 만한 이벤트 상태 업데이트	서버에서 검색된 Splunk Enterprise Security 모든 사용 가능한 상태 값을 표시하는 목록 메뉴에서 상태 옵션을 선택해야 합니다. 여기에는 아래 스크린샷과 같이 사용자 지정 생성 상태(예: ServiceNow 할당됨)가 포함될 수 있습니다. 수집된 중요 이벤트에 대한 보안 인시던트가 생성될 때 모든 중요 이벤트에 대해 설정할 상태 값을 선택합니다. 여기에는 새 인시던트를 생성하는 유명 인사와 기존 미결 인시던트에 수집되고 집계되는 유명 인사가 포함됩니다.
종결 설명 주목할 만한 이벤트에 다시 게시됨	중요 상태 값을 업데이트하는 것 외에도 중요 이벤트 인시던트 검토 이력에 종결 코멘트를 게시할 수도 있습니다. 지침에 나와 있는 대로, 인시던트 양식의 필드에 보안 인시던트 응답 $$ 형식을 사용하여 대체 변수를 추가하거나 수정하는 등 의견 섹션에 표시된 기본 텍스트를 편집할 수 있습니다.
Splunk 이벤트 설명으로 SIR 자동화 활동 업데이트	자동화 활동에서 SIR Splunk 이벤트 설명을 업데이트하는 옵션입니다. 자동화 활동의 설명이 SIRSplunk의 설명 프리픽스와 함께 나타납니다.
SIR 작업 메모로 Splunk 설명 업데이트	Splunk 이벤트 코멘트에서 작업 메모를 업데이트하는 SIR 옵션입니다. Splunk 이벤트의 코멘트는 프리픽스 "ServiceNow의 코멘트"와 함께 나타납니다.

Finish(마침)를 클릭하여 구성을 완료합니다.
확인 대화 상자가 표시됩니다. 통합에 대한 설정 및 구성을 성공적으로 완료했습니다. 이 프로파일을 활성화하여 일정에 따라 콘솔에서 중요한 이벤트를 Splunk Enterprise Security 끌어옵니다. 24시간 동안 생성할 수 있는 보안 인시던트는 1,000개로 제한됩니다. 발생한 경보당 최대 100개의 주목할 만한 이벤트가 발생할 수 있습니다. 제한에 도달한 후에는 이후의 주목할 만한 이벤트가 무시됩니다.
다음 이미지는 기본값이 채워진 추가 옵션 탭을 보여 줍니다.

추가 옵션 구성을 활성화하면 주목할 만한 이벤트 인시던트 검토에 상태 변경과 이력 설명에 대한 업데이트가 표시됩니다.

수동 이벤트 전달을 위한 프로필 설정

정의된 Splunk ES 프로파일에 따라 주목할 만한 이벤트는 별개의 주목할 만한 이벤트 보안 운영 로서 인스턴스 환경에 ServiceNow AI Platform 수동으로 전달됩니다.

주목할 만한 이벤트의 수동 전달을 위한 프로필을 설정하려면 다음과 같이 하십시오.


작업	섹션
이벤트 프로파일 생성	수동으로 전달된 이벤트에 대한 프로파일 생성 문서를 참조하십시오.
주목할 만한 이벤트 필드 매핑	통합을 위한 Splunk Enterprise Security 주목할 만한 이벤트 필드 매핑 문서를 참조하십시오.
사용자 지정 매핑 생성	중요 이벤트 인시던트 검토 및 기여 이벤트 상세 정보를 위한 Splunk ES 매핑 생성(수동 전달) 문서를 참조하십시오.
보안 인시던트 미리 보기	이벤트 수집 통합에 Splunk Enterprise Security 대한 보안 인시던트 미리 보기 문서를 참조하십시오.
Splunk 수동 수집을 위한 환경 설정	Splunk 주목할 만한 이벤트 수집 통합의 수동 이벤트 수집을 Splunk Enterprise Security 위한 환경 설정 문서를 참조하십시오.
SIR 인시던트 상태에 따라 중요한 이벤트 업데이트 및 종결 자동화	SIR 인시던트 상태에 따라 중요한 이벤트 업데이트 및 종결 자동화 문서를 참조하십시오.

수동으로 전달된 이벤트에 대한 프로파일 생성

수동 전달 이벤트에 대한 프로파일을 설정할 수 있습니다.

시작하기 전에

필요한 역할: sn_si.ingestion_profile_admin

주:

프로시저

수동 이벤트 전달을 지원하는 프로필을 만들려면 다음 단계를 수행합니다.

콘솔에서 요청 Splunk Enterprise Security 시 전달하는 이벤트의 경우, 기존 프로파일을 기반으로 개별 필드 매핑을 수행할 수 있습니다. 또는 익스포트한 첨부 파일 데이터에 대한 새 매핑 그리드를 생성할 수 있습니다. 수동으로 전달하는 이벤트는 이벤트 프로파일에 예약되지 않습니다.

아직 선택하지 않았다면 유형 필드의 선택 목록에서 수동 이벤트 전달을 선택합니다.

표시되는 매핑 옵션 필드의 선택 목록에서 계속할 매핑 옵션 하나를 선택합니다.

매핑 옵션 선택 목록에서 사용 가능한 매핑 옵션에 대한 자세한 내용은 다음 그림과 표를 참조하십시오.

표 2. 새 필드 매핑 옵션 생성
옵션 또는 필드	설명
새 필드 매핑 옵션 생성	이벤트에 대한 새 필드 매핑입니다. 생성 중인 프로파일과 유사한 기존 필드 매핑이 없는 경우 이 옵션을 선택하여 새 맵을 생성합니다.
기본 프로파일	모든 Splunk 이벤트에 대한 기본 이벤트 전달 프로필입니다. 기본값은 지워져 있습니다(비활성화됨). 이 옵션을 사용하도록 설정하면 이 프로파일이 수동 이벤트 전달을 위한 기본 프로파일이 됩니다. 이 프로파일은 수동으로 전달된 이벤트의 소스에 일치하는 항목이 없을 때 사용됩니다. 이는 출처를 알 수 없는 모든 이벤트의 기본 프로파일이 됩니다. 기본 프로파일 옵션이 활성화된 경우 소스 필드를 사용할 수 없습니다.
소스(중요 이벤트 필드)	이 필드는 일반적으로 주목할만한 상관관계 규칙(예: 무차별 암호 대입 공격)을 정의하는 필드입니다. 기본 프로파일 옵션을 사용하는 경우 이 필드를 사용할 수 없습니다. 사용 가능한 경우 이 필드를 사용하면 일반적으로 여러 이벤트 유형에 대해 다른 splunk 상관관계 규칙을 기반으로 보안 인시던트 필드에 고유한 이벤트 필드 매핑이 허용됩니다. 서로 다른 상관관계 규칙을 별도로 관리하려면 상관관계 규칙을 기반으로 다른 프로파일 이벤트 프로파일을 생성하여 이 요구 사항을 충족할 수 있습니다.
주목할 만한 이벤트 업데이트 자동화	주목할 만한 이벤트 상태를 업데이트하고 주목할 만한 이벤트에서 SIR 인시던트가 작성되거나 SIR 인시던트가 종결될 때 설명을 추가하려면 이 확인란을 선택합니다. 이는 SIR 인시던트를 생성하는 초기 트리거 중요 이벤트와 집계된 이벤트 모두에 대해 발생합니다.
소스(Splunk 서버)	주목할 만한 이벤트의 소스로 구성한 서버입니다 Splunk . 여러 Splunk 서버가 구성된 경우 프로파일에 대해 업데이트될 주목할 만한 이벤트 유형에 적합한 서버를 선택합니다. 값을 입력해야 합니다.
순서	기본값은 100입니다. 이 설정을 기본값으로 둡니다. 많은 수의 프로파일을 만든 경우 둘 이상의 프로파일이 트리거 조건을 공유할 때 이 값은 런타임 실행 우선순위를 제공합니다. 숫자가 가장 낮은 프로파일의 워크플로우가 가장 높은 우선순위를 갖습니다.
(선택 사항) 묘사	이 프로파일을 다른 프로파일과 구별하는 데 도움이 되는 텍스트입니다.

새 필드 매핑이 있는 프로필의 경우 소스 유형 필드에 값을 입력했는지 확인하고 계속 을 클릭하여 구성의 매핑 단계로 진행합니다.

기존 필드 매핑이 있는 프로필의 자세한 내용은 다음 그림과 표를 참조하십시오.

표 3. 필드 매핑 옵션에 대한 기존 프로파일 선택
옵션 또는 필드	설명
필드 매핑을 위한 기존 프로파일 선택	새로운 주목할 만한 이벤트 프로파일에 기존 필드 매핑을 재사용합니다. Copy from profile(프로파일에서 복사) 필드가 표시됩니다. 다음 단계에 따라 이 프로파일에 대한 기존 필드 매핑을 복사합니다. 표시되는 프로필에서 복사 필드 왼쪽에서 검색 아이콘을 클릭합니다. Splunk 표시되는 ES 이벤트 프로파일 목록에서 복사할 맵이 있는 프로파일 이름을 클릭합니다. 프로파일 이름이 프로파일에서 복사 필드에 표시됩니다.
기본 프로파일	소스가 일치하지 않는 모든 Splunk 주목할 만한 이벤트에 대한 기본 이벤트 전달 프로필입니다. 기본값은 지워져 있습니다(사용 안 함). 이 옵션을 사용하도록 설정하면 이 프로파일이 수동 이벤트 전달을 위한 기본 프로파일이 됩니다. 기본 프로파일 옵션이 활성화된 경우 소스 필드를 사용할 수 없습니다.
소스(중요 이벤트 필드)	이 필드는 일반적으로 주목할만한 상관관계 규칙(예: 무차별 암호 대입 공격)을 정의하는 필드입니다. 기본 프로파일 옵션을 사용하는 경우 이 필드를 사용할 수 없습니다. 사용 가능한 경우 이 필드를 사용하면 일반적으로 여러 이벤트 유형에 대해 다른 splunk 상관관계 규칙을 기반으로 보안 인시던트 필드에 고유한 이벤트 필드 매핑이 허용됩니다. 서로 다른 상관관계 규칙을 별도로 관리하려면 상관관계 규칙을 기반으로 다른 프로파일 이벤트 프로파일을 생성하여 이 요구 사항을 충족할 수 있습니다.
주목할 만한 이벤트 자동화	중요 이벤트 상태를 업데이트하고 중요 이벤트에서 보안 인시던트가 생성되거나 보안 인시던트가 종결될 때 설명을 추가하려면 이 확인란을 선택합니다. 이는 보안 인시던트를 생성하는 주목할 만한 초기 이벤트 트리거와 집계된 이벤트 모두에 대해 발생합니다.
소스(Splunk 서버)	Splunk 주목할 만한 이벤트의 소스로 구성한 서버 또는 검색 끝입니다. 여러 Splunk 서버가 구성된 경우 프로파일에 대해 업데이트될 주목할 만한 이벤트 유형에 적합한 서버를 선택합니다. 값을 입력해야 합니다.
순서	기본값은 100입니다. 이 설정을 기본값으로 둡니다. 여러 프로파일을 만든 경우 둘 이상의 프로파일이 트리거 조건을 공유할 때 이 값은 런타임 실행 우선순위를 제공합니다. 숫자가 가장 낮은 프로파일의 워크플로우가 가장 높은 우선순위를 갖습니다.
(선택 사항) 묘사	이 프로파일을 다른 프로파일과 구별하는 데 도움이 되는 텍스트입니다.

프로파일에 대한 기존 매핑을 선택하기 위한 양식의 맨 아래에서 마침 을 클릭하여 프로파일 구성을 완료합니다.

중요 이벤트 인시던트 검토 및 기여 이벤트 상세 정보를 위한 Splunk ES 매핑 생성(수동 전달)

중요 이벤트 필드 매핑 단계에서는 중요 이벤트의 개별 이벤트 필드를 (SIR) 보안 인시던트의 ServiceNow AI Platform 보안 인시던트 응답 필드로 매핑합니다.

시작하기 전에

필요한 역할: sn_si.ingestion_profile_admin

주:

이 태스크 정보

양식 왼쪽의 중요 이벤트 샘플 수집 열에서 최대 5개의 중요 이벤트를 오른쪽에 있는 SIR 인시던트 필드 매핑 열의 보안 인시던트 필드에 매핑합니다.

양식의 오른쪽에 있는 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 매핑을 생성합니다. SIR 인시던트 양식에 채워야 하는 일반적으로 중요한 필드인 기본 필드가 표시됩니다. 그러나 이러한 필드를 제거할 수 있으며 + 및 - 버튼을 사용하여 추가 필드를 표시할 수 있습니다. 양식 오른쪽의 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 맵을 생성합니다. 필드를 사용자 지정하면 보안 인시던트의 기본 매핑 그리드에 표시되지 않는 필드를 매핑 Splunk 할 수 있습니다 SIR .

프로시저

매핑 양식이 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다.
다음 단계에 따라 인스턴스에 첨부 파일 데이터를 ServiceNow AI Platform® 업로드합니다.
1. 아직 로그인하지 않았다면 콘솔에 로그인하십시오 Splunk Enterprise .
2. 검색 탭으로 이동하여 익스포트하려는 주목할 만한 이벤트 데이터가 있는 검색의 이름을 입력합니다.
  무차별 암호 대입 공격 동작 상관 관계 규칙에 대해 주목할 만한 이벤트를 검색하는 검색 형식의 예는 다음과 같습니다. 'notable'|search source="접근 - 무차별 암호 대입 접근 동작 탐지됨 - 규칙".
3. 중요 이벤트를 확장하고 필드 열에서 임포트할 필드를 선택합니다.
  
  이러한 필드는 익스포트되어 인스턴스의 매핑 페이지에 ServiceNow AI Platform® 표시되는 필드-값 쌍입니다.
4. Splunk Enterprise 콘솔의 검색 페이지 오른쪽 상단에서 익스포트 아이콘을 클릭합니다.
5. 표시되는 대화 상자의 형식 필드에 대한 선택 목록에서 XML 형식을 클릭합니다.
6. 옵션: 새 파일 이름을 입력합니다.
7. 익스포트를 클릭합니다.
  
  익스포트 Splunk 한 주목할 만한 이벤트 XML 파일을 이제 인스턴스에 업로드 ServiceNow AI Platform® 해야 합니다.
8. 인스턴스에 매핑 페이지가 아직 표시되어 ServiceNow AI Platform® 있지 않으면 진행률 표시줄에서 매핑 을 클릭합니다.
9. 주목할 만한 이벤트 샘플 수집 열에서 첨부 파일 데이터 로드를 클릭합니다.
10. 표시되는 대화 상자에서 파일 선택을 클릭하고 내보낸 .xml 파일을 탐색한 다음 열기를 클릭합니다.
  클릭하여 수동으로 전달된 이벤트에 Splunk ES 대한 첨부 파일 데이터를 로드하면 양식 왼쪽에 주목할 만한 이벤트 필드가 채워집니다. 이러한 값은 양식의 인시던트 필드 매핑 측면에 있는 보안 인시던트 필드에 매핑하는 필드 값입니다.
  
  이벤트에 대해 익스포트한 필드의 값 쌍이 매핑 양식의 왼쪽에 표시됩니다.
섹션의 5-10 중요 이벤트 인시던트 검토 및 기여 이벤트 상세 정보(예약된 수집)에 대한 Splunk ES 매핑 생성 단계를 수행합니다.

Splunk 주목할 만한 이벤트 수집 통합의 수동 이벤트 수집을 Splunk Enterprise Security 위한 환경 설정

이 통합에 대해 콘솔에서 요청 Splunk Enterprise Security 시 수동으로 이벤트를 익스포트하려면 엔터프라이즈 콘솔 또는 Splunk 클라우드 인스턴스에 애플리케이션에 Splunk 대한 Splunk Enterprise Security 보안 운영 이벤트 수집 Addon을 ServiceNow 설치하고 설정합니다.

시작하기 전에

엔터프라이즈 콘솔 또는 Splunk 클라우드 인스턴스에 애플리케이션용 Splunk Enterprise Security 보안 운영 이벤트 수집 애드온을 ServiceNow 설치하고 설정하는 것은 선택 사항입니다Splunk.

수동 이벤트 수집에 필요한 splunkbase에서 애드온 플러그인을 설치하기 전에 이 통합 ServiceNow Store 에 대한 애플리케이션을 설치했는지 확인하십시오. 에서 ServiceNow Store통합을 위한 애플리케이션을 설치하지 않은 경우 를 참조 주목할 만한 이벤트 수집 통합 설치 및 구성 Splunk Enterprise Security 하고 지침에 따라 설치합니다.

필요한 역할: Splunk Enterprise Security 관리자

이 태스크 정보

통합을 위해 콘솔에서 요청 시 Splunk Enterprise 이벤트를 수동 익스포트하려면 콘솔의 Splunk Enterprise Security splunkbase에서 보안 운영 이벤트 수집 추가 기능을 Splunk Enterprise Security 다운로드, 설치 및 설정합니다ServiceNow. 인스턴스에서 수동으로 익스포트한 이벤트 ServiceNow AI Platform 에서 보안 인시던트를 만들려면 이 ServiceNow 확장 추가 기능이 필요합니다. 이 ServiceNow 애플리케이션용 Splunk Enterprise Security 보안 운영 이벤트 수집 애드온은 splunkbase에서 사용할 수 있습니다.

수동 이벤트 전달의 경우 콘솔에서 최대 두 개의 서로 다른 ServiceNow AI Platform 엔드포인트(인스턴스)를 식별할 수 있습니다 Splunk Enterprise Security . 이벤트를 엔드포인트 또는 엔드포인트에 수동으로 전달하여 보안 인시던트를 만듭니다. 예를 들어, 스테이징(개발) 인스턴스와 프로덕션 인스턴스를 모두 지정할 수 있습니다. 개별 인스턴스를 지정하고 각 인스턴스에 대한 기본 및 보조 워크플로우의 이름을 지정하여 서로 다른 이벤트를 전달할 위치를 선택할 수 있습니다.

프로시저

에 대한 Splunk Enterprise Security보안 운영 이벤트 수집 추가 기능을 아직 설치하지 ServiceNow 않은 경우 다음 단계에 따라 설치하고 구성합니다.
1. splunkbase로 이동합니다.
2. ServiceNow 보안 운영 에 대한 Splunk Enterprise Security보안 운영 이벤트 수집 추가 기능을 검색합니다.
  
  주:
  에 대한 Splunk Enterprise Security이벤트 수집 추가 기능을 선택 ServiceNow 보안 운영 했는지 확인합니다. 이 목록에 표시되는 추가 ServiceNow 애드온이 있습니다. 이러한 추가 기능은 서로 다른 ServiceNow Splunk 통합을 위한 것이며 이 통합에는 필요하지 않습니다.
3. 애플리케이션을 다운로드합니다.
4. 계정을 Splunk Enterprise Security 엽니다.
5. 앱 페이지에서 기어 아이콘을 클릭하거나 메뉴 드롭다운 목록에서 앱 관리 바로 가기를 클릭합니다.
6. 표시되는 앱 페이지의 왼쪽 상단에서 파일에서 앱 설치를 클릭합니다.
7. 파일 선택을 클릭하고 에 대한 Splunk Enterprise Security보안 운영 이벤트 수집 추가 기능을 선택한 ServiceNow 다음 업로드를 클릭합니다.
8. 메시지가 표시되면 을 다시 시작합니다 Splunk Enterprise.
  ServiceNow 용 Splunk Enterprise Security 보안 운영 이벤트 수집 추가 기능이 콘솔에 설치됩니다Splunk Enterprise Security. 애드온을 설정하는 다음 단계입니다.

애드온을 설정하려면 다음 단계를 따르십시오.

에서 Splunk Enterprise Security메뉴 드롭다운 목록에서 앱 기어 아이콘 또는 앱 관리를 클릭합니다.
표시되는 애플리케이션 목록의 작업 열에서 에 대한 이벤트 수집 추가 기능 설정을ServiceNow 보안 운영Splunk Enterprise Security클릭합니다.
양식을 작성합니다.

다음 그림은 콘솔에서 작성된 양식의 Splunk Enterprise Security 예입니다.

ServiceNow 기본 인스턴스 지정 섹션의 필드	설명
워크플로우 작업 레이블	프로덕션(기본) 인스턴스에 대한 워크플로우의 ServiceNow AI Platform 이름입니다. 이 이름은 이벤트를 모니터링하는 Splunk 사용자가 기본 인스턴스로 식별하는 인스턴스의 이름입니다ServiceNow AI Platform(예: ServiceNow 이벤트 수집(프로덕션). 이 필드의 기본값은 ServiceNow 이벤트 수집(프로덕션)입니다. Splunk Enterprise Security 콘솔에서 프로덕션(기본) 인스턴스에 대한 이 워크플로우 이름이 검색의 확장된 `이벤트 작업` 드롭다운 목록에 표시됩니다. 이 이름은 프로덕션 인스턴스의 이름입니다. 이름을 편집할 수 있습니다.
URL	이전 워크플로우 작업 레이블 필드에 입력한 인스턴스의 URL ServiceNow AI Platform 입니다. 브라우저에서 URL을 복사하여 양식의 이 필드에 붙여넣습니다.
엔드포인트	기본 API 경로입니다. 자세한 내용은 표 다음에 나오는 그림을 참조하십시오. 프로덕션 인스턴스의 엔드포인트 ServiceNow AI Platform 에 대한 값이 없는 경우 다음 단계를 수행합니다. ServiceNow AI Platform 시스템 관리자(admin) 역할을 가진 사용자로 프로덕션 인스턴스에 로그인합니다. 탐색 패널에 `스크립팅된 REST API` 를 입력합니다. 탐색 패널을 새로 고치면 표시되는 스크립팅된 REST API 모듈을 선택합니다. 표시되는 `스크립팅된 REST API` 목록의 이름 열에 이벤트 수집이 나열되지 않은 경우 상단의 검색 필드에 `이벤트 수집`을 입력합니다. 새로 고친 페이지의 기본 API 경로 열에서 이 값을 복사하여 양식의 엔드포인트 필드에 붙여넣습니다. 예시 기본 API 경로는 `/api/sn_sec_splunk_v2/event_ingestion`입니다.
사용자 이름	인스턴스의 ServiceNow AI Platform 사용자 이름입니다. 이 이름은 수동 이벤트 전달을 위해 (sn_sec_splunk_v2.api_account_access) 역할을 가진 사용자를 할당한 인스턴스의 사용자 이름입니다 ServiceNow AI Platform . 이 역할 할당에 대한 자세한 내용은 다음 문서를 참조하십시오 ServiceNow AI Platform 통합을 위한 Splunk Enterprise Event Ingestion 인스턴스 설정.
암호	인스턴스의 암호입니다 ServiceNow AI Platform . 이 암호는 수동 이벤트 전달을 위해 (sn_sec_splunk_v2.api_account_access) 역할을 가진 사용자를 할당한 인스턴스의 암호 ServiceNow AI Platform 입니다.
(선택 사항) ServiceNow 보조 인스턴스 지정 섹션의 필드	설명 이러한 필드는 선택 사항입니다. 보조 인스턴스를 지정할 필요는 없습니다.
워크플로우 작업 레이블	보조(준비 중) 인스턴스에 대한 워크플로우의 ServiceNow AI Platform 이름입니다. 이 이름은 이벤트를 모니터링하는 Splunk 사용자가 보조 인스턴스(예ServiceNow: 이벤트 수집(스테이징))로 식별하는 인스턴스의 이름입니다ServiceNow AI Platform. Splunk Enterprise Security 콘솔에서 이 워크플로우 이름은 검색의 확장된 이벤트 작업 드롭다운 목록에 스테이징(보조) 인스턴스에 대해 표시됩니다. 이 ServiceNow AI Platform 인스턴스가 스테이징 인스턴스입니다. 이름을 편집할 수 있습니다.
URL	보조 ServiceNow AI Platform 인스턴스에 대한 이전 워크플로우 작업 레이블 필드에 입력한 인스턴스의 URL ServiceNow AI Platform 입니다. 브라우저에서 URL을 복사하여 양식의 이 필드에 붙여넣습니다.
엔드포인트	기본 API 경로입니다. 보조 인스턴스에 대한 기본 API 경로의 이 값은 기본 인스턴스의 기본 API 경로에 대한 값과 같습니다. 자세한 내용은 앞의 양식 그림을 참조하십시오.
사용자 이름	스테이징 인스턴스의 사용자 이름입니다 ServiceNow AI Platform . 사용자에게 (sn_sec_splunk_v2.api_account_access) 역할이 있어야 합니다.
암호	스테이징 인스턴스의 암호입니다 ServiceNow AI Platform . 사용자에게 (sn_sec_splunkes.api_account_access) 역할이 있어야 합니다.

다음 그림은 에 ServiceNow AI Platform있는 Scripted REST API 목록의 예입니다. 콘솔의 확장 Splunk Enterprise Security 용 Splunk Enterprise Security 보안 운영 이벤트 수집 추가 기능 설정 ServiceNow 의 일부로 양식에 입력한 인스턴스의 엔드포인트 값 ServiceNow AI Platform 위치가 목록에 표시됩니다.
기본 API 경로가 강조 표시되었습니다.

콘솔의 Splunk Enterprise Security 설정 양식에서 Save(저장 )를 클릭하여 편집 내용을 저장합니다.

잠시 후 콘솔 양식의 Splunk Enterprise Security 왼쪽 상단에 기록이 성공적으로 업데이트되었다는 메시지가 표시됩니다.

양식을 저장한 후에는 콘솔에서 선택한 검색 이벤트의 이벤트 작업 선택 목록에서 양식에 생성한 인스턴스의 이름(워크플로우 작업 레이블) ServiceNow AI Platform 을 사용할 수 Splunk Enterprise Security 있습니다.

다음에 수행할 작업

콘솔에 검색을 Splunk Enterprise Security 아직 저장하지 않은 경우 다음 단계는 검색을 콘솔에 경보로 저장하는 것입니다 Splunk Enterprise Security .