통합에 대해 Splunk Enterprise Event Ingestion 예약된 경보 선택

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 2분

    • 예약된 경보에 대한 프로파일을 생성한 후 보안 인시던트에 ServiceNow AI Platform 보안 인시던트 응답 매핑할 이 프로파일에 대한 경보를 선택합니다Splunk.

    시작하기 전에

    필요한 역할: sn_si.ingestion_profile_admin

    주:
    sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

    이 태스크 정보

    인스턴스에서 사용 가능한 경보 ServiceNow AI Platform 를 보고 매핑에 사용할 수 있는 필드 값을 알 수 있습니다. 경보를 선택하여 보안 인시던트의 필드에 SIR 값을 매핑하기 전에 기본 양식 레이아웃에서 예상 결과를 수신하는지 확인합니다. 이 양식의 목록에서 하나의 경보만 선택할 수 있습니다.

    프로시저

    1. 경보 선택 페이지가 표시되지 않으면 진행률 표시줄에서 선택하여 표시합니다.
      기본적으로 핵심 검색 및 보고 앱이 선택됩니다.
    2. 수집할 경보가 다른 Splunk 앱의 일부인 경우 Splunk 앱 선택을 선택하고 선택한 앱 목록에서 앱을 Splunk 선택합니다.
    3. 경보 목록에서 경보를 선택하고 사용 가능 열에서 선택됨 열로 이동합니다.
      여러 경보를 선택할 수도 있습니다. 경보가 단일 프로파일의 일부로 선택된 경우 경보는 공통 필드 매핑 및 프로파일 설정을 갖게 됩니다.

      이 양식의 경보 목록은 콘솔 Splunk 의 경보 목록과 일치합니다. 이 양식에는 최대 500개의 경보가 표시됩니다. Splunk 콘솔의 경보 페이지에 나열된 경보가 500개를 초과하는 경우 인스턴스의 이 양식 ServiceNow AI Platform 에는 처음 500개의 경보만 표시됩니다.

      옵션 설명
      경보 목록 검색 필드에 텍스트를 입력합니다. 검색 필드 아래의 열은 입력한 텍스트를 기반으로 사용 가능한 옵션을 사용하여 필터링됩니다. 경보를 선택하고 화살표 키를 사용하여 선택한 경보를 사용 가능 에서 선택됨으로 옮깁니다.
      경보 목록에서 경보를 두 번 클릭합니다. 선택됨 열이 선택 항목으로 채워집니다.
      경보 목록에서 경보 규칙을 한 번 클릭합니다. 경보가 선택됩니다. 화살표 키를 사용하여 선택한 경보를 사용 가능 에서 선택됨으로 옮깁니다.
      예약된 이벤트 프로파일에 대한 경보를 선택합니다.
    4. 계속하려면 하나의 옵션을 선택하십시오.
      옵션설명
      계속하거나 진행률 표시줄에서 매핑을 클릭합니다. 매핑 양식이 표시됩니다.

      진행률 표시줄에서 매핑이 선택됩니다. 다음 단계는 경보 필드를 보안 인시던트에 SIR 매핑하는 것입니다.
      업데이트 데이터가 저장되고 Splunk 이벤트 프로파일 목록이 표시됩니다.
      이전 이름 단계가 표시됩니다.
      삭제 이 이벤트 프로파일을 삭제하면 Splunk 이벤트 프로파일 목록이 표시됩니다.

    다음에 수행할 작업

    예약된 경보 프로파일에 대한 경보를 성공적으로 선택했습니다. 다음 단계는 경보 값을 보안 인시던트의 필드에 매핑하는 것입니다.