Splunk 환경 설정
ServiceNow Security Operations Integration을 사용하면 Splunk와 ServiceNow Security Operations 간의 원활한 통합이 가능합니다. 새 보안 인시던트 및 보안 이벤트가 생성되는 인스턴스를 ServiceNow 설정하거나 변경하려면 애플리케이션 목록에서 설정 작업을 사용합니다.
시작하기 전에
이벤트 관리 플러그인을 설치하여 em_event 테이블에 액세스합니다.
필요한 역할: sn_si.integration_user, sn_si.analyst
이 태스크 정보
통합을 위해 콘솔에서 Splunk Enterprise 요청 시 수동으로 이벤트를 익스포트하려면 콘솔의 Splunkbase에서 보안 운영 통합 추가 기능을 다운로드, Splunk Enterprise 설치 및 설정합니다ServiceNow.
인스턴스 ServiceNow 에서 수동으로 익스포트한 이벤트에서 보안 인시던트를 만들 수 있도록 이 확장 추가 기능이 필요합니다.ServiceNow AI Platform 이 ServiceNow ServiceNow Security Operations Integration 추가 기능은 splunkbase에서 사용할 수 있습니다.
프로시저
-
양식에서 필드를 채웁니다.
필드 설명 URL 콘솔 또는 Splunk Cloud 인스턴스의 인스턴스 URL ServiceNow 입니다Splunk Enterprise Security. 인증 유형 API 요청에 사용되는 인증 방법입니다. 사용 가능한 옵션은 다음과 같습니다. - 기본 인증: 사용자 이름과 암호를 사용하여 요청을 인증합니다.
- OAuth 2.0 인증: 액세스 토큰을 사용하여 요청을 인증합니다.
기본 인증 사용자 이름 사용자의 사용자 이름입니다. (sn_si.integration_user, sn_si.analyst) 역할을 가진 사용자가 앞의 URL 필드에 지정된 인스턴스에 ServiceNow 있어야 합니다.
암호 사용자의 암호입니다. (sn_si.integration_user, sn_si.analyst) 역할을 가진 사용자가 앞의 URL 필드에 지정된 인스턴스에 ServiceNow 있어야 합니다.
비밀번호 확인 암호를 대여하여 확인합니다. OAuth 2.0 인증 클라이언트 ID 서버에서 만든 앱의 클라이언트 ID입니다 ServiceNow . 클라이언트 ID를 가져오는 방법에 대한 자세한 내용은 다음을 참조하십시오. ServiceNow 인스턴스에서 애플리케이션 레지스트리 구성 클라이언트 비밀 서버에서 생성된 앱의 클라이언트 비밀입니다 ServiceNow . 클라이언트 암호를 가져오는 방법에 대한 자세한 내용은 다음을 참조하십시오. ServiceNow 인스턴스에서 애플리케이션 레지스트리 구성 리디렉션 URL 리디렉션할 URL입니다. 이 URL을 복사하여 애플리케이션 레지스트리 기록의 리디렉션 URL 필드에 붙여넣습니다.
선택적 프록시 프록시 URL 콘솔 또는 Splunk Cloud 인스턴스의 프록시 URL입니다Splunk Enterprise Security. 포트 포트의 주소입니다. 사용자 이름 콘솔에서 프록시 계정에 대해 생성한 사용자 이름입니다 Splunk Enterprise Security . 암호 콘솔에서 프록시 계정에 대해 생성한 암호입니다 Splunk Enterprise Security . 비밀번호 확인 암호를 대여하여 확인합니다. 로깅 수준 설정 로깅 수준 통합에 의해 생성된 보고 로그의 수준으로, 정보 유형의 이름을 의미합니다. 값을 다음 옵션으로 업데이트할 수도 있습니다. - 정보
- 오류
- 경고
- 디버그
기본적으로 이 값은 정보입니다.
API 선택 API 선택 다음 API 중 하나를 선택합니다. - 테이블 API
- 임포트 세트 API