통합에 대한 Splunk Enterprise Event Ingestion 콘솔 검색 Splunk Enterprise 저장

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 2분

    • 콘솔에 검색을 Splunk Enterprise 저장하는 다음 단계는 관리자 역할을 가진 Splunk Enterprise 사용자에게 제공됩니다.

    시작하기 전에

    콘솔에 저장된 기존 검색과 트리거된 경보 Splunk Enterprise 가 이미 있는 경우 이 통합에 대해 이러한 검색을 수정할 필요가 없습니다.

    제품과 Splunk 이벤트 알림 서비스를 통합 ServiceNow AI Platform® 보안 운영 하면 에서 Splunk이벤트 및 경보 정보를 끌어옵니다.

    경보를 보안 운영 사용자 환경에 수집하기 전에 경보로 저장하려는 관련 보안 이벤트를 Splunk Enterprise 자동으로 끌어올 수 있도록 콘솔에서 검색을 Splunk Enterprise 구성합니다.

    콘솔에 중요한 보안 이벤트가 발생할 Splunk Enterprise 때 알림을 위해 설정된 검색 및 트리거된 경보가 없는 경우 다음 단계에 따라 검색을 저장합니다.

    필요한 역할: Splunk Enterprise 관리자

    프로시저

    1. Splunk Enterprise 계정에 로그인합니다.
    2. 검색 탭을 클릭합니다.
    3. 표시되는 새 검색 필드에 경보 값(예: 맬웨어)을 입력합니다.
    4. 검색과 관련된 이벤트를 보려면 새 검색 필드 오른쪽에 있는 검색 아이콘을 클릭하거나 Enter 키를 누릅니다.
      이벤트가 있는 검색 결과가 표시됩니다.
    5. 검색을 경고로 저장하려면 페이지 오른쪽 위에서 다른 이름으로 저장 선택 목록을 확장하고 경고를 선택합니다.
    6. 표시되는 양식의 필드에 내용을 입력합니다.
      필드설명
      직위 경보에 대한 설명이 포함된 이름입니다(예: 맬웨어 이벤트). 이 검색을 경보로 저장하면 서비스에서 발생한 경보 Splunk 의 이벤트가 이 검색 데이터를 사용하여 트리거된 경보로 자동 처리됩니다. 이 트리거된 경보 제목은 보안 인시던트 생성을 위해 ServiceNow AI Platform® 보안 인시던트 응답 SIR 인스턴스로 수집되는 이벤트를 식별하기 위해 인스턴스에서 생성하는 ServiceNow AI Platform 이벤트 프로파일에 사용됩니다.
      (선택 사항) 묘사 이 경보를 다른 경보와 구별하는 데 도움이 되는 텍스트입니다.
      경보 유형 표시되는 필드에서 예약됨 을 선택하여 일정에 따라 이 경보를 검색하거나 실시간을 선택하여 이 경보를 계속 검색합니다.
      트리거 결과 다음 필터 조건 중 하나를 설정하는 것을 선호할 수 있습니다.
      • 결과 수가 다음보다 크거나 작습니다.
      • 각 결과에 대해 일회성(한 번)
      트리거 작업 이 경보를 트리거하는 작업을 추가합니다. 선택 추가 목록을 확장하고 트리거된 경보에 추가를 클릭하여 양식에 표시되도록 합니다. 인스턴스로 수집하는 경보에 대해 이 설정을 선호할 ServiceNow AI Platform 수 있습니다.
    7. 저장을 클릭합니다.
      경보가 저장되고 검색 페이지의 경보 탭 아래에 표시됩니다.
      Splunk 서비스는 경보에서 구성한 기준과 일치하여 이벤트를 끌어옵니다. 이벤트를 캐시한 다음 인스턴스에 설정한 ServiceNow AI Platform 프로파일에서 이러한 이벤트를 요청합니다. 이벤트의 수집 끌어오기는 서비스의 캐시 Splunk 에서 발생하므로 사용자의 ServiceNow AI Platform 이러한 수집은 플랫폼의 성능에 Splunk 영향을 주지 않습니다.

    다음에 수행할 작업

    콘솔에서 통합에 필요한 설정을 성공적으로 완료했습니다 Splunk Enterprise . 에서 ServiceNow Store통합을 위한 애플리케이션을 아직 설치하지 않은 경우 다음 단계는 통합을 위한 애플리케이션을 설치하고 구성하는 것입니다.