통합을 위한 Splunk Enterprise Event Ingestion 애플리케이션 설치 및 구성 ServiceNow
인스턴스에서 Now Platform® 통합을 실행하기 전에 이러한 설치 및 구성 단계를 완료하여 애플리케이션이 인스턴스의 AND 보안 인시던트 응답보안 운영 제품과 Now Platform® 올바르게 통합되도록 합니다.
시작하기 전에
필요한 역할: admin
프로시저
-
응용 프로그램을 구성하려면 New( 새로 만들기)를 클릭합니다.
-
표시되는 이벤트 수집 구성 대화 상자에서 필드를 채웁니다.
필드 설명 이름 통합에 Splunk Enterprise 사용되는 콘솔 또는 Splunk Cloud 인스턴스의 이름입니다. 이름에 공백은 지원되지만 괄호는 지원되지 않습니다. 예를 들어 HQ-USA 또는 HQ USA를 입력합니다.
Splunk API 기준 URL 콘솔 또는 Splunk Cloud 인스턴스의 URL입니다Splunk Enterprise. 기본 인증 기본값은 사용 안 함입니다. 구성에 API 계정 사용자 이름 및 API 암호를 사용하는 경우 확인란을 활성화합니다.
API 계정 사용자 이름 콘솔에서 Splunk Enterprise 개별 사용자 계정에 대해 생성한 사용자 이름입니다. API 암호 콘솔에서 개별 사용자 계정에 대해 생성한 암호입니다 Splunk Enterprise . 토큰 기반(버전 12.0.0에서 사용 가능) 콘솔에서 API 사용자 계정에 대해 생성한 토큰 기반 인증입니다 Splunk Enterprise .
토큰 콘솔에서 API 사용자 계정에 대해 생성한 토큰입니다 Splunk Enterprise . MID 서버 사용자 환경에 설정된 특정 MID 서버. 활성화되고 확인된 MID Server만 이 선택 목록에서 사용할 수 있습니다. 직접 배포 기본값은 사용 안 함입니다. 의 클라우드 기반 버전을 Splunk Enterprise사용하는 경우 확인란이 선택 취소되어 있는지 확인합니다.
이 옵션을 사용하는 경우 MID 서버 선택 목록이 표시됩니다. 의 온프레미스 버전을 Splunk Enterprise사용하는 경우 다음 단계에 따라 MID 서버를 선택합니다.
- 확인란을 선택합니다.
선택 목록이 표시됩니다. 기본값은 임의입니다.
- 이 MID 서버가 통합에 Splunk Enterprise Event Ingestion 대해 구성된 경우에만 모두를 선택하십시오.
- 선택 목록에서 이 특정 통합을 위해 인스턴스에 구성한 MID 서버를 선택합니다 Now Platform® .
다음 그림은 MID 서버를 사용하는 온프레미스 버전 Splunk Enterprise 구성에 대해 작성된 양식의 예입니다.
콘솔에서 Splunk Enterprise 수집하는 각 Splunk Enterprise 경보에는 인스턴스에 고유한 이벤트 프로필이 Now Platform® 필요합니다. 그러나 이벤트 수집 구성 양식에서 구성하는 소스는 각 프로필이 트리거 Splunk 된 경보를 고유하게 수집하기만 하면 여러 Now Platform® 프로필에 다시 사용할 수 있습니다.
- 확인란을 선택합니다.
-
제출을 클릭합니다.
유효성 검사가 성공적으로 완료되면 각 구성과 함께 보안 통합 페이지가 표시됩니다. 유효한 각 구성 타일에 다음 그림과 같이 구성 및 삭제 단추가 표시됩니다.주:기본 인증 또는 토큰 기반 인증만 사용해야 합니다. 인증 중 하나를 사용하도록 설정하고 해당 인증 세부 정보를 입력합니다. 둘 다 활성화하면 오류가 표시됩니다.
유효성을 검사하고 제출하면 각 이벤트 수집 Splunk 서버 구성이 보안 통합 페이지에 타일로 저장됩니다. 저장된 구성 타일이 보안 통합 페이지에 표시되지 않으면 페이지 오른쪽 상단 모서리의 구성 표시 선택 목록에서 예를 클릭합니다.
Submit(제출)을 클릭한 후 오류 메시지가 표시되면 정보를 다시 입력하고 Submit(제출)을 클릭합니다.
다음에 수행할 작업
애플리케이션을 성공적으로 설치하고 구성했습니다. 다음 단계는 이벤트 프로필을 만드는 것입니다.