Splunk 이벤트 수집 통합을 위한 Splunk Enterprise 수동 이벤트 수집을 위한 환경 설정
이 통합에 대해 콘솔에서 요청 Splunk Enterprise 시 이벤트를 수동으로 익스포트하려면 엔터프라이즈 콘솔 또는 Splunk 클라우드 인스턴스에 애플리케이션에 대한 Splunk Enterprise 보안 운영 이벤트 수집 애드온을 Splunk 설치하고 설정합니다ServiceNow.
시작하기 전에
수동 이벤트 수집에 필요한 splunkbase에서 애드온 플러그인을 설치하기 전에 이 통합 ServiceNow Store 에 대한 애플리케이션을 설치했는지 확인하십시오. 에서 ServiceNow Store통합을 위한 애플리케이션을 설치하지 않은 경우 를 참조 통합을 위한 Splunk Enterprise Event Ingestion 애플리케이션 설치 및 구성 ServiceNow 하고 지침에 따라 설치합니다.
필요한 역할: ServiceNow AI Platform 관리자(admin)
이 태스크 정보
보안 운영 이벤트 수집 애드온의 ServiceNow 설치 및 설정은 선택 사항입니다.
통합을 위해 콘솔에서 요청 시 Splunk Enterprise 이벤트를 수동 익스포트하려면 콘솔의 Splunk Enterprise splunkbase에서 보안 운영 이벤트 수집 추가 기능을 Splunk Enterprise 다운로드, 설치 및 설정합니다ServiceNow.
인스턴스에서 수동으로 익스포트한 이벤트 ServiceNow AI Platform 에서 보안 인시던트를 만들려면 이 ServiceNow 확장 추가 기능이 필요합니다. 이 ServiceNow 애플리케이션용 Splunk Enterprise 보안 운영 이벤트 수집 애드온은 splunkbase에서 사용할 수 있습니다.
수동 이벤트 전달의 경우 콘솔에서 최대 두 개의 서로 다른 ServiceNow AI Platform 엔드포인트(인스턴스)를 식별할 수 있습니다 Splunk Enterprise . 이벤트를 엔드포인트 또는 엔드포인트에 수동으로 전달하여 보안 인시던트를 만듭니다. 예를 들어, 스테이징(개발) 인스턴스와 프로덕션 인스턴스를 모두 지정할 수 있습니다. 개별 인스턴스를 지정하고 각 인스턴스에 대한 기본 및 보조 워크플로우의 이름을 지정하여 서로 다른 이벤트를 전달할 위치를 선택할 수 있습니다.
프로시저
-
애드온을 설정하려면 다음 단계를 따르십시오.
-
양식을 작성합니다.
다음 그림은 콘솔에서 작성된 양식의 Splunk Enterprise 예입니다.
ServiceNow 기본 인스턴스 지정 섹션의 필드 설명 워크플로우 작업 레이블 프로덕션(기본) 인스턴스에 대한 워크플로우의 ServiceNow AI Platform 이름입니다. 이 이름은 이벤트를 모니터링하는 Splunk 사용자가 기본 인스턴스로 식별하는 인스턴스의 이름입니다ServiceNow AI Platform(예: ServiceNow 이벤트 수집(프로덕션). 이 필드의 기본값은 ServiceNow 이벤트 수집(프로덕션)입니다.
Splunk Enterprise 콘솔에서 프로덕션(기본) 인스턴스에 대한 이 워크플로우 이름이 검색의 확장된 이벤트 작업 드롭다운 목록에 표시됩니다. 이 이름은 프로덕션 인스턴스의 이름입니다. 이름을 편집할 수 있습니다.
URL 이전 워크플로우 작업 레이블 필드에 입력한 인스턴스의 URL ServiceNow AI Platform 입니다. 브라우저에서 URL을 복사하여 양식의 이 필드에 붙여넣습니다.
엔드포인트 기본 API 경로입니다. 자세한 내용은 표 다음에 나오는 그림을 참조하십시오. 프로덕션 인스턴스의 엔드포인트 ServiceNow AI Platform 에 대한 값이 없는 경우 다음 단계를 수행합니다.
- ServiceNow AI Platform 시스템 관리자(admin) 역할을 가진 사용자로 프로덕션 인스턴스에 로그인합니다.
- 탐색 패널에 스크립팅된 REST API 를 입력합니다.
- 탐색 패널을 새로 고치면 표시되는 스크립팅된 REST API 모듈을 선택합니다.
- 표시되는 스크립팅된 REST API 목록의 이름 열에 이벤트 수집이 나열되지 않은 경우 상단의 검색 필드에 이벤트 수집을 입력합니다.
- 새로 고친 페이지의 기본 API 경로 열에서 이 값을 복사하여 양식의 엔드포인트 필드에 붙여넣습니다. 예시 기본 API 경로는 /api/sn_sec_splunk_v2/event_ingestion입니다.
사용자 이름 인스턴스의 ServiceNow AI Platform 사용자 이름입니다. 이 이름은 수동 이벤트 전달을 위해 (sn_sec_splunk_v2.api_account_access) 역할을 가진 사용자를 할당한 인스턴스의 사용자 이름입니다 ServiceNow AI Platform . 이 역할 할당에 대한 자세한 내용은 다음 문서를 참조하십시오 ServiceNow AI Platform 통합을 위한 Splunk Enterprise Event Ingestion 인스턴스 설정.
암호 인스턴스의 암호입니다 ServiceNow AI Platform . 이 암호는 수동 이벤트 전달을 위해 (sn_sec_splunk_v2.api_account_access) 역할을 가진 사용자를 할당한 인스턴스의 암호 ServiceNow AI Platform 입니다.
(선택 사항) ServiceNow 보조 인스턴스 지정 섹션의 필드 설명 이러한 필드는 선택 사항입니다. 보조 인스턴스를 지정할 필요는 없습니다.
워크플로우 작업 레이블 보조(준비 중) 인스턴스에 대한 워크플로우의 ServiceNow AI Platform 이름입니다. 이 이름은 이벤트를 모니터링하는 Splunk 사용자가 보조 인스턴스(예ServiceNow: 이벤트 수집(스테이징))로 식별하는 인스턴스의 이름입니다ServiceNow AI Platform. Splunk Enterprise 콘솔에서 이 워크플로우 이름은 검색의 확장된 이벤트 작업 드롭다운 목록에 스테이징(보조) 인스턴스에 대해 표시됩니다. 이 ServiceNow AI Platform 인스턴스가 스테이징 인스턴스입니다. 이름을 편집할 수 있습니다.
URL 보조 ServiceNow AI Platform 인스턴스에 대한 이전 워크플로우 작업 레이블 필드에 입력한 인스턴스의 URL ServiceNow AI Platform 입니다. 브라우저에서 URL을 복사하여 양식의 이 필드에 붙여넣습니다.
엔드포인트 기본 API 경로입니다. 보조 인스턴스에 대한 기본 API 경로의 이 값은 기본 인스턴스의 기본 API 경로에 대한 값과 같습니다. 자세한 내용은 앞의 양식 그림을 참조하십시오. 사용자 이름 스테이징 인스턴스의 사용자 이름입니다 ServiceNow AI Platform . 사용자에게 (sn_sec_splunk_v2.api_account_access) 역할이 있어야 합니다. 암호 스테이징 인스턴스의 암호입니다 ServiceNow AI Platform . 사용자에게 (sn_sec_splunk_v2.api_account_access) 역할이 있어야 합니다. 다음 그림은 에 ServiceNow AI Platform있는 Scripted REST API 목록의 예입니다. 콘솔의 확장 Splunk Enterprise 용 Splunk Enterprise 보안 운영 이벤트 수집 추가 기능 설정 ServiceNow 의 일부로 양식에 입력한 인스턴스의 엔드포인트 값 ServiceNow AI Platform 위치가 목록에 표시됩니다.그림 1. 의 스크립트 기반 REST API 목록 ServiceNow AI Platform -
양식을 작성합니다.
다음에 수행할 작업
콘솔에 검색을 Splunk Enterprise 아직 저장하지 않은 경우 다음 단계는 검색을 콘솔에 경보로 저장하는 것입니다 Splunk Enterprise .