엔터프라이즈 보안 설정 구성 Splunk
Splunk ES(엔터프라이즈 보안) 설정을 사용하여 사전 설정 구성과 해당 값을 요구 사항에 따라 수정합니다.
시작하기 전에
필요한 역할: sn_si.ingestion_profile_admin
주:
sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.
프로시저
- 다음으로 이동 모두 > Splunk ES 통합 > Splunk ES 설정.
-
양식에서 필드를 채웁니다.
표 1. Splunk ES 설정 필드 설명 단일 인시던트로 집계할 수 있는 주목할 만한 이벤트의 수를 제한하십시오. 단일 인시던트로 집계하려는 중요 이벤트의 수를 제한하는 옵션입니다. 기본적으로 이 값은 100으로 설정됩니다.
24시간 동안 만들 수 있는 보안 인시던트 수를 제한하십시오. 24시간 동안 만들 수 있는 보안 인시던트 수를 제한하는 옵션입니다. 기본적으로 이 값은 1000으로 설정됩니다.
에서 Splunk수신한 각 필드에서 구문 분석할 값의 수를 제한하십시오. 에서 받은 Splunk각 필드에 대해 구문 분석할 값의 수를 제한하는 옵션입니다. 기본적으로 이 값은 1000으로 설정됩니다.
가져올 Splunk상관관계 규칙의 수입니다. 에서 Splunk검색할 상관 관계 규칙의 수를 정의하는 옵션입니다. 기본적으로 이 값은 500으로 설정됩니다.
검색 작업에 대한 Splunk 유효 기간(Time-to-Live) 매개변수(초)입니다. 검색에 대한 Splunk 유효 기간 매개변수를 초 형식으로 정의하는 옵션입니다. 기본적으로 이 값은 600으로 설정됩니다.
한 번의 검색으로 일괄 처리할 주목할 만한 유형의 수입니다. 단일 검색에서 배치하려는 주목할 만한 유형의 총 수를 정의하는 옵션입니다. 기본적으로 이 값은 20으로 설정됩니다.
검색 작업 메타데이터를 유지할 Splunk 일수 ServiceNow Splunk 검색 작업 메타데이터를 ServiceNow유지하려는 일 수를 정의하는 옵션입니다. 기본적으로 이 값은 30으로 설정됩니다.
필드 매핑에서 값을 분할하는 구분 기호 문자입니다. 필드 매핑에서 값을 분할할 구분 기호를 정의하는 옵션입니다. 기본적으로 값은 (,)으로 설정됩니다.
에서 Splunk 이벤트를 가져오는 동안 추가할 중복 시간(분)(Splunk의 인덱싱 지연 극복) 에서 인덱싱 지연Splunk을 극복하기 위해 이벤트를 Splunk 검색하는 동안 추가할 중복 시간(분)을 정의하는 옵션입니다. 기본적으로 이 값은 30으로 설정됩니다.
업데이트된 주목할 만한 이벤트 끌어오기 업데이트된 중요 이벤트를 검색하는 옵션입니다. 기본적으로 값은 아니요로 설정됩니다.
토큰 기반 인증 지원을 위한 기존 Splunk 소스 구성을 업데이트하려면 이 설정을 활성화합니다. 이 설정을 사용하도록 설정한 후 토큰 상세 정보로 통합 구성을 업데이트해야 합니다. 기존 Splunk 소스 구성을 기존 버전의 토큰 기반 인증 지원으로 업데이트하는 옵션입니다. 주:새 버전으로 업그레이드하면 토큰 필드를 사용할 수 없게 됩니다. 토큰 기반 인증을 가져오려면 이 설정을 활성화해야 하며, 그 후에는 토큰 상세 정보로 통합 구성을 업데이트해야 합니다.기본적으로 값은 아니요로 설정됩니다.
수집 중에 종결된 Notable을 끌어오려면 확인란을 활성화합니다. 종결된 이벤트를 ServiceNow Splunk ES 인스턴스로 끌어오는 옵션입니다. 선택하지 않으면 활성 이벤트만 인스턴스로 끌어와집니다. 기본적으로 값은 아니요로 설정됩니다.
- 저장을 클릭합니다.