에서 추가 기능 구성 TISCSplunk

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 7분

    • 아래 절차에 따라 애플리케이션을 구성합니다.

    시작하기 전에

    필요한 역할: Splunk 관리자

    이 태스크 정보

    아래 절차에서는 의 TISC 추가 기능 Splunk구성에 대해 설명합니다.

    프로시저

    1. 왼쪽 탐색 창에서 Threat Intelligence Security Center for Splunk 앱을 검색합니다.
    2. 작업 열 아래에서 설정을 클릭합니다.
      구성 페이지가 표시되고 계정을 설정할 수 있습니다ServiceNow TISC.
    3. 추가를 선택합니다.
    4. 양식에서 필드를 채웁니다.
      필드 설명
      계정 추가
      이름 계정의 고유한 이름입니다.
      사용자 이름 계정 ServiceNow 사용자 이름을 입력합니다. 위 단계에서 역할 생성 중에 생성된 사용자에 사용되는 것과 동일한 사용자 이름을 사용할 수 sn_sec_tisc.api_obs_read_access .
      암호 계정 암호를 제공하십시오 ServiceNow .
      인스턴스 URL ServiceNow 인스턴스 URL 주소를 제공합니다.
    5. 추가를 클릭합니다.
      ServiceNow 인스턴스 계정이 Splunk.
    6. 입력 페이지로 이동하여 컬렉션을 생성하고 계정에 대한 ServiceNow 데이터 입력을 관리합니다.
    7. 새 입력 생성을 클릭합니다.
      계정에 입력을 ServiceNow 추가할 수 있는 입력 추가 대화 상자가 표시됩니다.

      입력 세트가 정의되면 애플리케이션은 조건을 충족하는 특정 수의 옵저버블을 검색하기 위해 정보를 인스턴스로 TISC 보냅니다.

    8. 입력 상세 정보를 적절하게 입력합니다.
      필드 설명
      이름 입력의 고유 이름입니다. 예를 들어 악성 IP 목록입니다.
      계정 계정 ServiceNow 사용자 이름을 입력합니다. 위 단계에서 sn_sec_tisc.api_obs_read_access 역할로 만든 사용자에게 사용되는 것과 동일한 사용자 이름을 사용할 수 있습니다.
      간격 에서 데이터를 TISC검색할 시간 간격(초)을 설정합니다.
      만료 기간(일) 만료 기간을 일 단위로 설정하는 옵션입니다.
      주:
      샘플 만료는 30일로 설정됩니다. 예를 들어 특정 날짜에 데이터를 끌어오면 10,000개의 기록 세트를 검색할 수 있습니다. 이러한 레코드는 내의 KV(키-값) 저장소에 Splunk저장됩니다. 수집된 날짜로부터 기록은 30일 동안 보존됩니다. 31일째 되는 날에는 KV 저장소에서 자동으로 삭제됩니다.
      만료되지 않음 수집된 기록을 만료하지 않으려면 이 옵션을 선택합니다.
      추가 속성 KV 저장소에 포함할 권장 옵션 목록에서 추가 속성을 추가할 수 있습니다. 속성은 쉼표로 구분해야 합니다.

      허용되는 속성 목록은 필수 속성 테이블 다음 테이블에 제공됩니다.
      필터 임포트할 조건을 정의하면 데이터가 필터링됩니다.

      필터 조건을 설정하기 위해 위협 점수, 신뢰도 수준 및 유형과 같은 필드를 기반으로 기준을 정의할 수 있습니다.

      단순 필터 조건의 경우 이 필터링 옵션을 사용할 수 있습니다. 그러나 필터 조건이 더 복잡하고 고급 필터링의 경우 JSON 필터를 추가하도록 선택할 수 있습니다.
      • 허용되는 정수 연산자는 다음과 같습니다.

        "=", "!=", ">", "<", ">=", "<="

      • 허용되는 문자열 연산자는 다음과 같습니다.

        "=", "!=", "IN"

      다음은 간단한 필터의 예입니다.

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON JSON 기반 필터를 사용하면 보다 복잡한 조건을 정의할 수 있습니다. JSON 객체의 상태는 활성 상태여야 합니다.

      JSON을 사용하여 필터 조건을 적용할 수 있는 고급 필터로 전환하려면 JSON 필터 확인란을 선택합니다.

      샘플 고급 필터:

      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      주:
      계정은 기본적으로 활성 상태이지만 입력은 기본적으로 비활성 상태입니다. 데이터 임포트를 시작하려면 계정을 활성화해야 합니다. 가능한 필터는 위협 인텔리전스 보안 센터(TISC) 애플리케이션에 옵저버블 소스 기록 추가 의 Observable_filters 섹션을 참조하십시오.
    9. 추가를 클릭하여 입력을 추가합니다.
    10. 클론 또는 복사를 클릭하여 기존 계정을 기반으로 새 계정을 복사하고 생성합니다.
      동일한 기준을 사용하여 데이터를 임포트할 때 중복 항목이 작성되지 않도록 복제하기 전에 입력이 비활성화되었는지 확인하십시오.
    11. 데이터를 가져오면 다음 정보가 검색되어 TISC에서 가져온 기록과 함께 KV Splunk 저장소에 저장됩니다.
      필드 설명
      신뢰도 위협 점수의 정확도와 연결된 신뢰도 수준을 나타냅니다.
      kvlookup_created_time 키 값 저장소의 기록 생성 시간을 나타냅니다.
      kvlookup_days_till_expiry KV 저장소에서 기록이 삭제되기까지의 일 수를 나타냅니다.
      instance_url ServiceNow 인스턴스 URL 주소를 나타냅니다.
      평판 관련된 엔터티의 평판을 나타냅니다.
      source_reported_score 에서 TISC보고된 소스 점수입니다.
      sys_id 수신 TISC되는 기록의 시스템 ID입니다.
      threat_level 위협의 심각도 수준을 나타냅니다.
      threat_score 기록과 연결된 위협 수준을 나타내는 점수입니다.
      threat_severity 옵저버블의 위협 심각도를 나타냅니다.
      유형 옵저버블 유형을 나타냅니다.
      updated_by 기록을 마지막으로 업데이트한 사람에 대한 정보를 제공합니다.
      kvlookup_updated_time 키 값 저장소에서 기록이 마지막으로 업데이트된 타임 스탬프를 나타냅니다.
      기록의 값입니다. 예를 들어 IP, 해시 등이 있습니다.
      표 1. 추가 속성
      필드 설명
      additional_context 필요에 따라 추가 컨텍스트를 제공합니다.
      attack_phases LM, MITRE ATT&CK와 같은 킬 체인의 공격 단계를 나타냅니다.
      저자 작성자 이름을 입력합니다.
      설명 필요에 따라 주석을 추가합니다.
      작성됨 옵저버블이 생성된 시기를 나타냅니다.
      설명 설명을 입력합니다.
      expiration_time 옵저버블 기록의 만료 시간을 지정합니다.
      확장명 옵저버블의 확장을 나타냅니다.
      first_observed 데이터를 처음으로 관찰한 시간입니다.
      first_seen 처음으로 악의적인 활동을 수행하는 이 기록이 발견되었습니다.
      historically_significant 옵저버블이 역사적으로 중요한 것으로 간주되는지 여부를 나타냅니다. 이 TISC 시스템 플래그는 보관에서 옵저버블을 제외하는 데 사용됩니다.
      ID TISC 시스템에서 옵저버블에 할당한 고유 식별자입니다.
      is_defanged 옵저버블 값이 제거되었는지 여부를 나타내는 플래그입니다.
      is_false_positive 옵저버블이 긍정 오류로 식별되는지 여부를 나타내는 부울 플래그입니다.
      언어 이 객체의 텍스트 내용 언어를 나타냅니다.
      last_observed 데이터를 마지막으로 관찰한 시간입니다.
      last_seen 이 객체가 악의적인 활동을 수행하는 것이 마지막으로 목격된 시간입니다.
      메모 옵저버블 기록에 대한 추가 메모를 추가합니다.
      번호 TISC에서 옵저버블에 할당한 시스템 생성 번호입니다.
      security_type 옵저버블이 허용 목록 또는 거부 목록에 속하는지 여부를 지정합니다.
      no_of_sources 옵저버블에 기여한 고유 소스의 개수를 나타냅니다.
      sources 이 기록이 생성되는 위협 소스를 지정합니다.
      상태 활성 또는 비활성인 경우 옵저버블의 상태를 입력합니다.
      tisc_tags 옵저버블과 연결된 TISC 태그를 선택합니다.
      분류 옵저버블과 연결된 분류를 선택합니다.
      TLP TLP별 데이터 민감도 설정을 나타내는 고유 값입니다.
      업데이트됨 옵저버블 기록이 마지막으로 업데이트된 시기를 나타냄
      usage_categories 옵저버블이 속하는 범주(예: 봇넷 또는 피싱)입니다.
      watch_list 옵저버블이 감시 목록에 포함되는지 여부를 지정하는 플래그입니다.

      이러한 필드는 기준에 정의된 다른 필드와 함께 검색 탭에서 Splunk 사용할 수 있으며 검색 탭을 통해 보고, 검색하고, 분석할 수 있습니다.