이벤트 프로파일 생성

취리히 보안 관리

Release

zurich

ft:locale

ko-KR

ft:publication_title

취리히 보안 관리

ft:clusterId

security

bundleId

security

workflow

Technology

이벤트 프로파일 생성 및 이름 지정

릴리스 버전: Zurich

업데이트 날짜 2025년 07월 31일

소요 시간: 8분

인스턴스에 이벤트 프로파일을 ServiceNow AI Platform 생성하고 보안 Splunk 인시던트를 생성하는 경보를 결정합니다.

시작하기 전에

필요한 역할: sn_si.ingestion_profile_admin

주:

sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

이 태스크 정보

수집된 경보에서 (SIR)보안 인시던트가 생성되기 전 ServiceNow AI Platform 보안 인시던트 응답 에는 실제 보안 인시던트가 표시되는 방식을 미리 볼 수 있도록 경보의 필드 값이 보안 인시던트의 레이아웃 ServiceNow AI Platform 에 표시됩니다.

사용 가능한 API Splunk 를 사용하는 통합 관점에서 이벤트는 개별 이벤트로 개별적으로 또는 수동으로 전달되거나 인스턴스 환경 ServiceNow AI Platform 으로 보안 운영 자동으로 수집되는 트리거된 경보로 결합됩니다. 통합 워크플로우는 무단 접근 시도, 멀웨어 등 다양한 유형의 경보를 수집합니다.

이러한 경보는 인스턴스 환경에서 구성한 보안 운영 프로파일을 기반으로 수집됩니다. 모든 경보는 처음에 프로파일에 구성된 경보 유형에 대해 수집됩니다. 수집된 경보를 추가로 필터링하여 보안 인시던트를 생성하는 경보를 지정할 수 있습니다. 예를 들어 고위험으로 식별된 경보에 대해서만 보안 인시던트를 생성하는 필터를 선호할 수 있습니다. 프로파일이 활성화되고 수집된 경보에서 보안 인시던트를 생성하기 전에 필터링된 경보의 개별 필드 값이 미리 보기를 위해 보안 인시던트 레이아웃의 해당 필드에 매핑됩니다.

인스턴스의 이벤트 프로파일 ServiceNow AI Platform 에 대한 경보 이름은 고유해야 하며 특정 시점에 하나의 활성 이벤트 프로파일에만 매핑할 수 있습니다. 다음은 통합 설정의 일부로 서비스에서 구성한 Splunk 트리거된 경보 이름입니다. 사용자 Splunk Enterprise 환경에서 경보를 구성하는 방법에 대한 자세한 내용은 문서를 참조하십시오 통합에 대한 Splunk Enterprise Event Ingestion 콘솔 검색 Splunk Enterprise 저장.

ServiceNow AI Platform 통합 워크플로우를 사용하여 특정 경보를 수집합니다. 엔터프라이즈 콘솔에서 선택 기준을 Splunk 충족하는 모든 경보는 처음에 인스턴스로 ServiceNow AI Platform 수집됩니다.

사용자의 ServiceNow AI Platform 프로파일은 엔터프라이즈 콘솔의 Splunk 경보를 캡슐화 Splunk 한 것입니다. 프로파일과 함께 수집된 경보와 엔터프라이즈 콘솔에 대한 연결 Splunk 간에는 일대일 관계가 있습니다. 즉, 하나의 연결에 대한 하나의 경보입니다. 콘솔의 검색 헤드에 대한 단일 https 연결이 있습니다 Splunk Enterprise . 단일 검색 헤드에서 여러 경보가 발생할 수 있습니다. 콘솔에서 여러 검색 헤드에 Splunk Enterprise 연결하는 경우 이러한 경보를 수집하려면 인스턴스에 여러 프로필을 ServiceNow AI Platform 생성해야 합니다.

예약된 경보 수집을 위한 프로필을 생성하는 단계

프로시저

경보 ServiceNow AI Platform 에 대한 이벤트 프로파일을 생성하려면 인스턴스에서 Splunk ES 통합 > Splunk ES 이벤트 프로파일.
이벤트 프로파일 양식이 Splunk 표시되지 않으면 진행률 표시줄에서 이름을 클릭합니다.
새로 만들기를 클릭합니다.

필드에 내용을 입력합니다.

완료된 양식의 예가 테이블 다음에 나옵니다.


필드	설명
이름	프로파일의 고유한 이름입니다. 이름이 고유하지 않으면 중복 프로파일 이름이 저장되지 않습니다. 인스턴스의 프로파일 이름은 ServiceNow AI Platform 고유해야 합니다.
활성	확인란은 기본적으로 선택이 취소되어 있습니다. 활성 옵션이 비활성화되어 모든 프로필 구성 단계를 완료하고 마침을 클릭할 때까지 선택할 수 없습니다.
유형	선택 목록에서 프로파일 유형을 선택합니다. 예약된 경보 수집 - 이 유형의 프로파일은 사용자가 구성하는 일정에 따라 수집되는 트리거된 경보를 지원합니다. 필드에 내용을 입력하고 계속 을 클릭하여 프로파일의 경보 선택 단계로 이동합니다. 수동 이벤트 전달 - 이 유형의 프로파일은 요청 시 콘솔에서 수동으로 Splunk Enterprise 전달되는 개별 이벤트를 지원합니다. 이러한 유형의 프로파일에 대한 양식을 작성하려면 다음 단계를 참조하십시오.
소스 유형	Splunk 경보를 수집하도록 구성한 서버 또는 검색 끝입니다. 여러 Splunk 서버가 구성된 경우 프로파일에 대해 수집하려는 경보 유형에 적합한 서버를 선택합니다. 값을 입력해야 합니다.
순서	기본값은 100입니다. 이 설정을 기본값으로 둡니다. 여러 프로필을 만든 경우 둘 이상의 프로필이 동일한 트리거 조건을 공유할 때 이 값은 런타임 실행 우선 순위를 제공합니다. 숫자가 가장 낮은 프로파일의 워크플로우가 가장 높은 우선순위를 갖습니다.
(선택 사항) 묘사	이 프로파일을 다른 프로파일과 구별하는 데 도움이 되는 텍스트입니다.

예약된 경보가 있는 프로파일의 경우 프로파일 구성을 계속하려면 하나의 옵션을 선택합니다.

옵션	설명
계속하기	프로파일을 저장하고 경보 선택 단계로 진행합니다.
업데이트	이 프로파일에 대한 업데이트를 저장하고 이벤트 프로파일 목록으로 돌아갑니다 Splunk .
저장	이 프로파일을 저장하고 페이지에 남아 있습니다.
삭제	이 프로파일 기록을 삭제하고 이벤트 프로파일 목록으로 돌아갑니다 Splunk .

수동 이벤트 전달을 위한 프로필을 생성하는 단계

수동 이벤트 전달을 지원하는 프로필을 만들려면 다음 단계를 수행합니다.

엔터프라이즈 콘솔에서 요청 Splunk 시 전달하는 이벤트의 경우 개별 필드 매핑을 기존 프로파일에 기반할 수 있습니다. 또는 익스포트한 첨부 파일 데이터에 대한 새 매핑 그리드를 생성할 수 있습니다. 수동으로 전달하는 이벤트는 이벤트 프로파일에 예약되지 않습니다.

아직 선택하지 않았다면 유형 필드의 선택 목록에서 수동 이벤트 전달을 선택합니다.

표시되는 매핑 옵션 필드의 선택 목록에서 계속할 매핑 옵션 하나를 선택합니다.

매핑 옵션 선택 목록에서 사용 가능한 매핑 옵션에 대한 자세한 내용은 다음 그림과 표를 참조하십시오.

매핑 옵션 필드가 강조 표시되었습니다. — 그림 1. 새 필드 매핑 옵션 생성

표 1. 새 필드 매핑 옵션 생성
옵션 또는 필드	설명
새 필드 매핑 옵션 생성	이벤트에 대한 새 필드 매핑입니다. 생성 중인 프로파일과 유사한 기존 필드 매핑이 없는 경우 이 옵션을 선택하여 새 맵을 생성합니다.
기본 프로파일	모든 Splunk 이벤트에 대한 기본 이벤트 전달 프로필입니다. 기본값은 지워져 있습니다(사용 안 함). 이 옵션을 사용하도록 설정하면 이 프로파일이 수동 이벤트 전달을 위한 기본 프로파일이 됩니다. 이 프로파일은 활성 상태이며 보안 인시던트에 대한 모든 Splunk 이벤트 필드 매핑에 사용되는 유일한 프로파일입니다 SIR . 하나의 프로파일이 전달된 모든 이벤트에 적합합니다. 기본 프로파일 옵션이 활성화된 경우 소스 필드를 사용할 수 없습니다.
소스 유형	Splunk 서버. 기본 프로파일 옵션을 사용하는 경우 이 필드를 사용할 수 없습니다. 사용 가능한 경우 소스 유형 옵션을 사용하면 소스 유형에 따라 보안 인시던트 필드에 고유한 이벤트 필드 매핑을 사용할 수 있습니다 Splunk . 방화벽 로그 이벤트를 엔드포인트 탐지 이벤트와 다르게 관리하려는 경우 소스 유형이 다르 Splunk 면 소스 유형을 기반으로 다른 이벤트 프로파일을 생성하여 이 요구 사항을 충족할 수 있습니다.
순서	기본값은 100입니다. 이 설정을 기본값으로 둡니다. 많은 수의 프로파일을 만든 경우 둘 이상의 프로파일이 트리거 조건을 공유할 때 이 값은 런타임 실행 우선순위를 제공합니다. 숫자가 가장 낮은 프로파일의 워크플로우가 가장 높은 우선순위를 갖습니다.
(선택 사항) 묘사	이 프로파일을 다른 프로파일과 구별하는 데 도움이 되는 텍스트입니다.

새 필드 매핑이 있는 프로필의 경우 소스 유형 필드에 값을 입력했는지 확인하고 계속 을 클릭하여 구성의 매핑 단계로 진행합니다.

기존 필드 매핑이 있는 프로필의 자세한 내용은 다음 그림과 표를 참조하십시오.

기존 매핑 복사 옵션에 대해 강조 표시된 검색 아이콘입니다. — 그림 2. 필드 매핑 옵션에 대한 기존 프로파일 선택

표 2. 필드 매핑 옵션에 대한 기존 프로파일 선택
옵션 또는 필드	설명
필드 매핑을 위한 기존 프로파일 선택	이벤트에 대한 기존 필드 매핑입니다. Copy from profile(프로파일에서 복사) 필드가 표시됩니다. 다음 단계에 따라 이 프로파일에 대한 기존 필드 매핑을 복사합니다. 표시되는 프로필에서 복사 필드 왼쪽에서 검색 아이콘을 클릭합니다. Splunk 표시되는 이벤트 프로파일 목록에서 복사할 맵이 있는 프로파일 이름을 클릭합니다. 프로파일 이름이 프로파일에서 복사 필드에 표시됩니다.
기본 프로파일	모든 Splunk 이벤트에 대한 기본 이벤트 전달 프로필입니다. 기본값은 지워져 있습니다(사용 안 함). 이 옵션을 사용하도록 설정하면 이 프로파일이 수동 이벤트 전달을 위한 기본 프로파일이 됩니다. 이 프로파일은 활성 상태인 유일한 프로파일입니다. 보안 인시던트에 대한 모든 Splunk 이벤트 필드 매핑에 SIR 사용됩니다. 하나의 프로파일이 전달된 모든 이벤트에 적합합니다. 기본 프로파일 옵션이 활성화된 경우 소스 필드를 사용할 수 없습니다.
소스 유형	Splunk 서버. 기본 프로파일 옵션을 선택한 경우 이 필드를 사용할 수 없습니다. 사용 가능한 경우 소스 유형 옵션을 사용하면 소스 유형에 따라 보안 인시던트 필드에 고유한 이벤트 필드 매핑을 사용할 수 있습니다 Splunk . 방화벽 로그 이벤트를 엔드포인트 탐지 이벤트와 다르게 관리하려는 경우 소스 유형이 다르 Splunk 면 소스 유형을 기반으로 다른 이벤트 프로파일을 생성하여 이 요구 사항을 충족할 수 있습니다.
순서	기본값은 100입니다. 이 설정을 기본값으로 둡니다. 여러 프로파일을 만든 경우 둘 이상의 프로파일이 트리거 조건을 공유할 때 이 값은 런타임 실행 우선순위를 제공합니다. 숫자가 가장 낮은 프로파일의 워크플로우가 가장 높은 우선순위를 갖습니다.
(선택 사항) 묘사	이 프로파일을 다른 프로파일과 구별하는 데 도움이 되는 텍스트입니다.

프로파일에 대한 기존 매핑을 선택하기 위한 양식의 맨 아래에서 마침 을 클릭하여 프로파일 구성을 완료합니다.

다음에 수행할 작업

예약된 경보와 수동 이벤트 전달 모두를 위한 프로파일을 생성하는 단계를 성공적으로 완료했습니다. 수동 이벤트 전달을 위한 프로필의 경우 프로필 구성을 완료했습니다. 다음 단계는 매핑 단계에서 첨부 파일 데이터를 로드하는 것입니다.

예약된 경보에 대한 프로필의 경우 다음 단계는 자동 수집할 경보를 선택하는 것입니다.