통합을 위한 Splunk Enterprise Event Ingestion 이벤트 프로파일 생성 및 이름 지정

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기7분

    • 인스턴스에 이벤트 프로파일 Now Platform 을 생성하고 보안 인시던트를 생성하는 경보를 결정합니다 Splunk .

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    SIR수집된 경보에서 () 보안 인시던트가 생성되기 전에 Now Platform 보안 인시던트 응답 경보의 필드 값이 보안 인시던트의 레이아웃 Now Platform 에 표시되므로 실제 보안 인시던트가 표시되는 방식을 미리 볼 수 있습니다.

    사용 가능한 API를 사용하는 통합 관점에서 이벤트는 개별 및 수동으로 개별 이벤트로 전달되거나, Splunk 인스턴스 환경에 Now Platform 자동으로 수집되는 트리거된 경보로 결합됩니다보안 운영. 통합 워크플로우는 예를 들어 무단 액세스 시도 및 맬웨어와 같은 다양한 유형의 경보를 수집합니다.

    이러한 경보는 인스턴스 환경에서 구성하는 보안 운영 프로파일에 따라 수집됩니다. 모든 경보는 프로파일에서 구성된 경보 유형에 대해 초기에 수집됩니다. 그런 다음, 수집된 경보를 추가로 필터링하여 보안 인시던트를 생성하는 경보를 지정할 수 있습니다. 예를 들어 고위험으로 식별된 경보에 대해서만 보안 인시던트를 생성하는 필터를 선호할 수 있습니다. 프로파일이 활성화되기 전에 수집된 경보에서 보안 인시던트를 생성하면 필터링된 경보의 개별 필드 값이 미리 보기를 위해 보안 인시던트 레이아웃의 해당 필드에 매핑됩니다.

    인스턴스에 있는 Now Platform 이벤트 프로필의 경보 이름은 고유해야 하며 특정 시점에 하나의 활성 이벤트 프로필에만 매핑할 수 있습니다. 통합 설정의 일부로 서비스에서 구성 Splunk 한 트리거된 경보 이름입니다. 사용자 Splunk Enterprise 환경에서 경보를 구성하는 방법에 대한 자세한 내용은 을 참조하십시오 통합을 위해 콘솔 Splunk Enterprise Event Ingestion 에 Splunk Enterprise 검색 저장.

    Now Platform 통합 워크플로우를 사용하여 특정 경보를 수집합니다. 엔터프라이즈 콘솔의 Splunk 선택 기준을 충족하는 모든 경보는 처음에 인스턴스에 수집됩니다 Now Platform .

    Now Platform 프로파일은 엔터프라이즈 콘솔의 경보를 캡슐화 SplunkSplunk 것입니다. 프로필로 수집된 경보와 엔터프라이즈 콘솔에 대한 Splunk 연결 사이에는 일대일 관계, 즉 하나의 연결에 대해 하나의 경보가 있습니다. 콘솔의 검색 헤드에 대한 단일 https 연결이 있습니다 Splunk Enterprise . 단일 검색 헤드에서 여러 경보를 제공할 수 있습니다. 콘솔에서 Splunk Enterprise 여러 검색 헤드에 연결하는 경우 인스턴스에 여러 프로필을 Now Platform 생성하여 이러한 경보를 수집해야 합니다.

    예약된 경보 수집을 위한 프로필을 만드는 단계

    프로시저

    1. 경보에 대한 이벤트 프로파일을 생성하려면 Now Platform 인스턴스에서 Splunk Integration > Splunk 이벤트 프로파일.
    2. 이벤트 프로파일 양식이 Splunk 표시되지 않으면 진행률 표시줄에서 이름을 클릭합니다.
    3. 새로 만들기를 클릭합니다.
    4. 필드에 내용을 입력합니다.

      완성된 양식의 예는 다음 표에 나와 있습니다.

      필드 설명
      이름 프로파일의 고유한 이름입니다. 이름이 고유하지 않으면 중복된 프로파일 이름이 저장되지 않습니다.

      인스턴스의 Now Platform 프로파일 이름은 고유해야 합니다.
      활성 확인란은 기본적으로 선택되어 있지 않습니다.

      활성 옵션이 비활성화되어 모든 프로파일 구성 단계를 완료하고 마침을 클릭할 때까지 선택할 수 없습니다.
      유형 선택 목록에서 프로파일 유형을 선택합니다.
      • 예약된 경보 수집 - 이 유형의 프로필은 사용자가 구성한 일정에 따라 수집되는 트리거된 경보를 지원합니다. 필드에 내용을 입력하고 계속 을 클릭하여 프로파일의 경보 선택 단계로 진행합니다.
      • 수동 이벤트 전달 - 이 유형의 프로필은 요청 시 콘솔에서 Splunk Enterprise 수동으로 전달되는 개별 이벤트를 지원합니다. 이러한 유형의 프로필에 대한 양식을 작성하려면 다음 단계를 참조하십시오.
      소스 유형 Splunk 경보를 수집하도록 구성한 서버 또는 검색 끝입니다. 여러 Splunk 서버가 구성되어 있는 경우 프로필에 수집하려는 경보 유형에 적합한 서버를 선택합니다. 값을 입력해야 합니다.
      순서 기본값은 100입니다. 이 설정을 기본값으로 둡니다.

      여러 프로필을 만든 경우 이 값은 두 개 이상의 프로필이 동일한 트리거 조건을 공유할 때 실행 시간 실행 우선 순위를 제공합니다. 가장 낮은 번호의 프로파일에서 워크플로우의 우선순위가 가장 높습니다.
      (선택 사항) 묘사 이 프로파일을 다른 프로파일과 구분하는 데 도움이 되는 텍스트입니다.

      다음 그림은 예약된 경보에 대해 작성된 양식의 예입니다.

      예약된 경보에 대한 작성된 프로파일 이름 양식입니다.
    5. 예약된 경보가 있는 프로필의 경우 프로필 구성을 계속하려면 한 가지 옵션을 선택합니다.
      옵션설명
      계속 프로파일을 저장하고 경보 선택 단계로 진행합니다.
      업데이트 이 프로파일에 대한 업데이트를 저장하고 이벤트 프로파일 목록으로 Splunk 돌아갑니다.
      저장 이 프로파일을 저장하고 페이지에 남아 있습니다.
      삭제 이 프로파일 기록을 삭제하고 이벤트 프로파일 목록으로 Splunk 돌아갑니다.
      수동 이벤트 전달을 위한 프로필을 만드는 단계
    6. 수동 이벤트 전달을 지원하는 프로필을 만들려면 다음 단계를 수행합니다.

      엔터프라이즈 콘솔에서 Splunk 요청 시 전달하는 이벤트의 경우 기존 프로파일에 개별 필드 매핑을 기반으로 할 수 있습니다. 또는 익스포트한 첨부 파일 데이터에 대한 새 매핑 그리드를 만들 수 있습니다. 수동으로 전달하는 이벤트는 이벤트 프로파일에 예약되지 않습니다.

      1. 아직 선택하지 않은 경우 유형 필드의 선택 목록에서 수동 이벤트 전달을 선택합니다.
      2. 표시되는 매핑 옵션 필드의 선택 목록에서 하나의 매핑 옵션을 선택하여 계속합니다.

        매핑 옵션 선택 목록에서 사용 가능한 매핑 옵션에 대한 자세한 내용은 다음 그림과 테이블을 참조하십시오.

        그림 1. 새 필드 매핑 옵션 생성
        매핑 옵션 필드가 강조 표시됨.
        표 1. 새 필드 매핑 옵션 생성
        옵션 또는 필드 설명
        새 필드 매핑 옵션 생성 이벤트에 대한 새 필드 매핑입니다.

        만들고 있는 프로파일과 유사한 기존 필드 매핑이 없는 경우 이 옵션을 선택하여 새 맵을 만듭니다.
        기본 프로파일

        모든 Splunk 이벤트에 대한 기본 이벤트 전달 프로필입니다. 기본값은 선택 취소(사용 안 함)입니다.

        이 옵션을 사용하면 이 프로필이 수동 이벤트 전달의 기본 프로필이 됩니다. 이 프로파일은 유일하게 활성 상태이며 보안 인시던트에 대한 모든 Splunk 이벤트 필드 매핑에 SIR 사용됩니다. 하나의 프로파일이 전달된 모든 이벤트에 적합합니다.

        기본 프로파일 옵션이 활성화된 경우 소스 필드를 사용할 수 없습니다.
        소스 유형

        Splunk 서버.

        기본 프로파일 옵션을 사용하는 경우 이 필드를 사용할 수 없습니다.

        사용 가능한 경우 소스 유형 옵션을 사용하면 소스 유형에 따라 보안 인시던트 필드에 고유한 이벤트 필드 매핑을 Splunk 허용합니다.

        방화벽 로그 이벤트를 엔드포인트 탐지 이벤트와 다르게 관리하고 소스 유형이 서로 다른 Splunk 경우, 소스 유형에 따라 다른 이벤트 프로필을 생성하여 이 요구 사항을 충족할 수 있습니다.
        순서 기본값은 100입니다. 이 설정을 기본값으로 둡니다.

        많은 수의 프로필을 만든 경우 이 값은 둘 이상의 프로필이 트리거 조건을 공유할 때 실행 시간 실행 우선 순위를 제공합니다. 가장 낮은 번호의 프로파일에서 워크플로우의 우선순위가 가장 높습니다.
        (선택 사항) 묘사 이 프로파일을 다른 프로파일과 구분하는 데 도움이 되는 텍스트입니다.

        새 필드 매핑이 있는 프로파일의 경우 소스 유형 필드에 값을 입력했는지 확인하고 계속 을 클릭하여 구성의 매핑 단계로 진행합니다.

        기존 필드 매핑이 있는 프로필의 경우 자세한 내용은 다음 그림과 표를 참조하십시오.

        그림 2. 필드 매핑 옵션에 대한 기존 프로파일 선택
        기존 매핑 복사 옵션에 대해 강조 표시된 검색 아이콘입니다.
        표 2. 필드 매핑 옵션에 대한 기존 프로파일 선택
        옵션 또는 필드 설명
        필드 매핑을 위한 기존 프로파일 선택 이벤트에 대한 기존 필드 매핑입니다.

        프로파일에서 복사 필드가 표시됩니다.

        이 프로파일에 대한 기존 필드 매핑을 복사하려면 다음 단계를 따르십시오.

        1. 표시되는 Copy from profile(프로파일에서 복사) 필드의 왼쪽에서 검색 아이콘을 클릭합니다.
        2. Splunk 표시되는 이벤트 프로파일 목록에서 복사할 맵이 있는 프로파일 이름을 클릭하십시오.

          프로파일 이름이 프로파일에서 복사 필드에 표시됩니다.
        기본 프로파일

        모든 Splunk 이벤트에 대한 기본 이벤트 전달 프로필입니다. 기본값은 선택 취소(사용 안 함)입니다.

        이 옵션을 사용하면 이 프로필이 수동 이벤트 전달의 기본 프로필이 됩니다. 이 프로파일은 활성 상태인 유일한 프로파일입니다. 이는 보안 인시던트에 대한 모든 Splunk 이벤트 필드 매핑에 SIR 사용됩니다. 하나의 프로파일이 전달된 모든 이벤트에 적합합니다.

        기본 프로파일 옵션이 활성화된 경우 소스 필드를 사용할 수 없습니다.
        소스 유형

        Splunk 서버.

        기본 프로파일 옵션을 선택하면 이 필드를 사용할 수 없습니다.

        사용 가능한 경우 소스 유형 옵션을 사용하면 소스 유형에 따라 보안 인시던트 필드에 고유한 이벤트 필드 매핑을 Splunk 허용합니다.

        방화벽 로그 이벤트를 엔드포인트 탐지 이벤트와 다르게 관리하고 소스 유형이 서로 다른 Splunk 경우, 소스 유형에 따라 다른 이벤트 프로필을 생성하여 이 요구 사항을 충족할 수 있습니다.
        순서 기본값은 100입니다. 이 설정을 기본값으로 둡니다.

        여러 프로필을 만든 경우 이 값은 두 개 이상의 프로필이 트리거 조건을 공유할 때 실행 시간 우선 순위를 제공합니다. 가장 낮은 번호의 프로파일에서 워크플로우의 우선순위가 가장 높습니다.
        (선택 사항) 묘사 이 프로파일을 다른 프로파일과 구분하는 데 도움이 되는 텍스트입니다.

        프로파일에 대한 기존 매핑을 선택하기 위한 양식의 맨 아래에서 마침 을 클릭하여 프로파일 구성을 완료합니다.

    다음에 수행할 작업

    예약된 경보와 수동 이벤트 전달을 위한 프로파일을 작성하는 단계를 성공적으로 완료했습니다. 수동 이벤트 전달을 위한 프로필의 경우 프로필 구성을 완료했습니다. 다음 단계는 매핑 단계에서 첨부 파일 데이터를 로드하는 것입니다.

    예약된 경고에 대한 프로필의 경우 다음 단계는 자동 수집에 대한 경고를 선택하는 것입니다.