Elasticsearch 통합 구성 및 활성화

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 2분

    • Elasticsearch는 Security Operations와 쉽게 통합되는 분산형 RESTful 검색 및 분석 엔진입니다.

    시작하기 전에

    Elasticsearch를 사용하려면 먼저 ServiceNow Store에서 다운로드해야 합니다.

    필요한 역할: sn_sec_tisc.admin

    • Elasticsearch 통합을 사용하려면 먼저 위협 인텔리전스 보안 센터 플러그인을 설치하고 활성화해야 합니다.
    • Elasticsearch 프로필에서 Elasticsearch API 기본 URL, Kibana 기본 URL, 사용자 이름 및 암호를 가져옵니다.

    프로시저

    1. 인스턴스를 사용하여 Threat Intelligence Security Center에 액세스합니다.
    2. 에서 통합을 다운로드합니다. ServiceNow Store.
    3. 설치가 완료되면 작업 공간 > 위협 인텔리전스 보안 센터.
    4. 선택 통합 > 보강 통합 > 모든 통합.
    5. 또는 다음으로 이동할 수 있습니다. 통합 > 보강 통합 > 모든 통합 > 검색 찾기
      주:
      구성된 통합은 일련의 카드로 나타납니다.
    6. Elasticsearch 카드에서 새 보강 구성을 클릭하여 Elasticsearch 통합을 구성합니다.
    7. 새 보강 구성 양식의 필드에 내용을 입력합니다.
      표 1. 보강 통합
      필드 설명
      이름 사이팅 검색 구성의 이름을 입력합니다.
      벤더 이름 벤더의 이름입니다. 선택한 벤더의 상세 정보가 기본적으로 채워집니다. 예를 들어 Elasticsearch입니다.
      통합 유형 선택한 통합 유형입니다. 예를 들어 위협 조회입니다.
      설명 Elasticsearch 통합에 대한 설명을 입력합니다. 예를 들어, Elasticsearch 보강 통합은 Elasticsearch 배포에서 로그 쿼리를 지원하여 옵저버블을 조사하는 데 도움이 됩니다.
      통합 구성
      Elasticsearch API 기준 URL Elasticsearch 사이트에서 가져온 기본 URL입니다.
      Kibana 기본 URL Kibana 기본 URL입니다. [선택사항] 사용 가능한 경우, Kibana 인스턴스에 대한 링크입니다.
      사용자 이름 인텔 Elasticsearch 사용자 이름입니다.
      암호 인텔 Elasticsearch 암호입니다.
      Elasticsearch 인덱스 Elasticsearch 인덱스입니다. 여기에는 각 인덱스에 고유한 문서가 저장됩니다. 인덱스는 수행된 작업(예: 검색 및 삭제)을 나타내는 소문자 이름으로 식별됩니다.
      날짜 범위 필드 구성의 타임스탬프입니다.
      최대 행 수 검색할 행의 최대 수입니다.
      가장 빠른 결과(일) 일수 단위로 보려는 가장 빠른 결과입니다.
      검색 결과에 원시 데이터 샘플 포함 사이팅 검색 결과에 원시 데이터 샘플을 포함하려면 이 옵션을 선택합니다. 반환되는 데이터의 양은 보안 인시던트 응답 속성의 원시 데이터 속성 행 수의 설정에 따라 달라집니다.
      MID 서버 활성 MID 서버를 사용하려면 임의를 선택하고, 특정 MID 서버 이름을 선택합니다.
      주:
      이 통합을 구성하면 워크플로우가 활성화됩니다. 워크플로우를 관리하려면 워크플로우 편집기로 이동합니다.
    8. 저장을 클릭합니다.
      통합 세부 사항이 확인되고, 기본적으로 Elasticsearch 통합의 상태는 비활성화입니다.
    9. 활성화를 클릭하여 Elasticsearch 통합을 활성화합니다.

    결과

    구성된 후에는 위협 인텔리전스 보안 센터의 옵저버블에 대한 사이팅 검색을 수행하기 위해 Elasticsearch를 선택할 수 있습니다.