이벤트 수집 통합을 위한 수동 이벤트 수집을 Splunk Enterprise 위한 환경 설정 Splunk

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기8분

    • 이 통합을 위해 콘솔에서 Splunk Enterprise 수동 및 요청 시 이벤트를 익스포트하려면 엔터프라이즈 콘솔 또는 Splunk Cloud 인스턴스에서 ServiceNowSplunk 애플리케이션용 Security Operations Event Ingestion Addon을 Splunk Enterprise 설치하고 설정합니다.

    시작하기 전에

    수동 이벤트 수집에 필요한 Splunkbase에서 애드온 플러그인을 설치하기 전에 이 통합 ServiceNow Store 용 애플리케이션을 설치했는지 확인합니다. 에서 통합을 ServiceNow Store위한 애플리케이션을 설치하지 않은 경우 을 참조 통합을 위한 Splunk Enterprise Event Ingestion 애플리케이션 설치 및 구성 ServiceNow 하고 지침에 따라 설치합니다.

    필요한 역할: Now Platform 관리자(admin)

    이 태스크 정보

    Security Operations 이벤트 수집 추가 기능의 ServiceNow 설치 및 설정은 선택 사항입니다.

    통합을 위해 콘솔에서 Splunk Enterprise 수동 및 요청 시 이벤트를 익스포트하려면 콘솔에서 Splunk Enterprise splunkbase용 Security Operations 이벤트 수집 애드온을 ServiceNowSplunk Enterprise 다운로드, 설치 및 설정합니다.

    ServiceNow 확장 추가 기능은 인스턴스에서 수동으로 내보낸 이벤트에서 보안 인시던트를 생성할 수 Now Platform 있도록 하는 데 필요합니다. 이 ServiceNow 애플리케이션용 Splunk Enterprise 보안 운영 이벤트 수집 애드온은 splunkbase에서 사용할 수 있습니다.

    수동 이벤트 전달의 경우 콘솔에서 최대 두 개의 서로 다른 Now Platform 엔드포인트(인스턴스)를 식별할 수 있습니다 Splunk Enterprise . 이벤트를 엔드포인트에 수동으로 전달하여 보안 인시던트를 생성합니다. 예를 들어 스테이징(개발) 인스턴스와 프로덕션 인스턴스를 모두 지정할 수 있습니다. 별도의 인스턴스를 지정하고 각 인스턴스의 기본 및 보조 워크플로우 이름을 지정하여 서로 다른 이벤트를 전달할 위치를 선택할 수 있습니다.

    프로시저

    1. Splunk EnterpriseSecurity Operations 이벤트 수집 추가 기능을 아직 설치 ServiceNow 하지 않은 경우 다음 단계에 따라 설치하고 구성합니다.
      1. splunkbase로 이동합니다.
      2. ServiceNow 보안 운영 에 대한 Security Operations 이벤트 수집 애드온을 Splunk Enterprise검색합니다.
        주:
        에 대해 Event Ingestion Addon을 Splunk Enterprise선택 ServiceNow 보안 운영 했는지 확인합니다. 이 목록에 표시되는 추가 ServiceNow 애드온이 있습니다. 이러한 애드온은 서로 다른 ServiceNow Splunk 통합을 위한 것이며 이 통합에는 필요하지 않습니다.
      3. 애플리케이션을 다운로드합니다.
      4. Splunk Enterprise 계정을 엽니다.
      5. Apps(앱) 페이지에서 톱니바퀴 아이콘 또는 메뉴 드롭다운 목록의 Manage Apps(앱 관리 ) 바로 가기를 클릭합니다.
      6. 표시되는 Apps(앱) 페이지의 왼쪽 상단에서 Install app from file(파일에서 앱 설치)을 클릭합니다.
      7. Choose File(파일 선택)을 클릭하고 Security Operations Event Ingestion Addon for Splunk Enterprise을 선택한 ServiceNow 다음 Upload(업로드)를 클릭합니다.
      8. 메시지가 표시되면 을 다시 시작합니다 Splunk Enterprise.
        Security Operations Event Ingestion Addon for Splunk EnterpriseServiceNow 엔터프라이즈 콘솔에 설치되어 있습니다Splunk Enterprise. 애드온을 설정하는 다음 단계입니다.
    2. 애드온을 설정하려면 다음 단계를 따르세요.
      1. 에서 Splunk Enterprise 기어 아이콘 또는 메뉴 드롭다운 목록에서 앱 관리를 클릭합니다.
      2. 표시되는 애플리케이션 목록의 Actions(작업 ) 열에서 Set up for ServiceNow 보안 운영 Event Ingestion Addon for Splunk Enterprise을 클릭합니다.
      3. 양식을 작성합니다.
        다음 그림은 콘솔에서 Splunk Enterprise 완성된 폼의 예입니다.
        ServiceNow 기본 및 보조 인스턴스에 대한 구성 설정이 포함된 작성된 양식
      ServiceNow 기본 인스턴스 지정 섹션의 필드설명
      워크플로우 작업 레이블 프로덕션(기본) 인스턴스에 대한 워크플로우의 Now Platform 이름입니다. 이 이름은 이벤트를 모니터링 Splunk 하는 사용자가 기본 인스턴스로 식별하는 인스턴스의 Now Platform 이름입니다(예: ServiceNow 이벤트 수집(프로덕션)).

      이 필드의 기본값은 ServiceNow 이벤트 수집(프로덕션)입니다.

      Splunk Enterprise 콘솔에서 이 워크플로우 이름은 검색의 확장된 이벤트 작업(Event Actions) 드롭다운 목록에 프로덕션(기본) 인스턴스에 대해 표시됩니다. 이 이름은 프로덕션 인스턴스의 이름입니다. 이름을 편집할 수 있습니다.
      URL 앞의 워크플로우 작업 레이블 필드에 입력한 인스턴스의 Now Platform URL입니다.

      브라우저에서 URL을 복사하여 양식의 이 필드에 붙여넣습니다.
      엔드포인트 기본 API 경로입니다. 자세한 내용은 다음 표를 참조하십시오.

      프로덕션 인스턴스의 엔드포인트 Now Platform 에 대한 값이 없는 경우 다음 단계를 수행합니다.

      1. Now Platform 시스템 관리자(admin) 역할을 가진 사용자로 프로덕션 인스턴스에 로그인합니다.
      2. 탐색 패널에 스크립팅된 REST API 를 입력합니다.
      3. 탐색 패널을 새로 고친 후 표시되는 스크립트 기반 REST API 모듈을 선택합니다.
      4. 표시되는 스크립팅된 REST API 목록의 이름 열에 이벤트 수집이 나열되지 않은 경우 맨 위에 있는 검색 필드에 이벤트 수집을 입력합니다.
      5. 새로 고침한 페이지의 기본 API 경로 열에서 이 값을 복사하여 양식의 엔드포인트 필드에 붙여 넣습니다. 기본 API 경로의 예는 /api/sn_sec_splunk_v2/event_ingestion입니다.
      사용자 이름 인스턴스의 Now Platform 사용자 이름입니다. 이 이름은 수동 이벤트 전달을 위해 사용자에게 (sn_sec_splunk_v2.api_account_access) 역할을 할당한 인스턴스의 Now Platform 사용자 이름입니다.

      이 역할 할당에 대한 자세한 내용은 다음 문서를 참조하십시오 통합을 위한 Splunk Enterprise Event Ingestion 인스턴스 설정 Now Platform.
      암호 인스턴스의 암호입니다 Now Platform .

      이 암호는 수동 이벤트 전달을 위해 사용자에게 (sn_sec_splunk_v2.api_account_access) 역할을 할당한 인스턴스의 Now Platform 암호입니다.
      (선택 사항) ServiceNow 보조 인스턴스 지정 섹션의 필드 설명

      이러한 필드는 선택 사항입니다. 보조 인스턴스를 지정할 필요는 없습니다.
      워크플로우 작업 레이블 Now Platform 보조(스테이징) 인스턴스의 워크플로우 이름입니다. 이 이름은 이벤트를 모니터링 Splunk 하는 사용자가 보조 인스턴스로 식별하는 인스턴스의 Now Platform 이름입니다(예: ServiceNow 이벤트 수집(스테이징)).

      Splunk Enterprise 콘솔에서 이 워크플로우 이름은 검색의 확장된 이벤트 작업(Event Actions) 드롭다운 목록에서 스테이징(보조) 인스턴스에 대해 표시됩니다. 이 Now Platform 인스턴스가 스테이징 인스턴스입니다. 이름을 편집할 수 있습니다.
      URL 보조 Now Platform 인스턴스의 이전 워크플로우 작업 레이블 필드에 입력한 인스턴스의 Now Platform URL입니다.

      브라우저에서 URL을 복사하여 양식의 이 필드에 붙여넣습니다.
      엔드포인트 기본 API 경로입니다. 보조 인스턴스의 기본 API 경로에 대한 이 값은 기본 인스턴스의 기본 API 경로와 동일한 값입니다. 자세한 내용은 양식의 이전 그림을 참조하십시오.
      사용자 이름 스테이징 인스턴스의 Now Platform 사용자 이름입니다. 사용자에게 (sn_sec_splunk_v2.api_account_access) 역할이 있어야 합니다.
      암호 스테이징 인스턴스의 암호입니다 Now Platform . 사용자에게 (sn_sec_splunk_v2.api_account_access) 역할이 있어야 합니다.
      다음 그림은 에 있는 Now Platform스크립팅된 REST API 목록의 예입니다. 목록에는 콘솔에서 Security Operations Event Ingestion Addon for Splunk Enterprise 확장 Splunk Enterprise 설정 ServiceNow 의 일부로 양식에 입력하는 인스턴스의 Now Platform 엔드포인트 값 위치가 표시됩니다.
      그림 1. Now Platform의 스크립팅된 REST API 목록
      기본 API 경로가 강조 표시됨.
    3. 콘솔의 설정 양식 Splunk Enterprise 에서 Save(저장 )를 클릭하여 편집 내용을 저장합니다.

      잠시 후 콘솔의 양식 Splunk Enterprise 왼쪽 위에 기록이 성공적으로 업데이트되었다는 메시지가 표시됩니다.

      양식을 저장하면 콘솔에서 선택한 검색 Splunk Enterprise 이벤트의 이벤트 작업 선택 목록에서 양식에서 생성한 인스턴스의 이름(워크플로우 작업 레이블Now Platform)을 사용할 수 있습니다.

    다음에 수행할 작업

    콘솔에 Splunk Enterprise 검색 내용을 아직 저장하지 않은 경우 다음 단계는 콘솔에 Splunk Enterprise 검색 내용을 경고로 저장하는 것입니다.