주목할 만한 이벤트 수집 통합 설치 및 구성 Splunk Enterprise Security

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 3분

    • 인스턴스에서 통합을 ServiceNow AI Platform® 실행하기 전에 다음 설치 및 구성 단계를 완료하여 애플리케이션이 인스턴스의 및 보안 운영 제품과 ServiceNow AI Platform® 제대로 통합 보안 인시던트 응답 되도록 합니다.

    시작하기 전에

    필요한 역할: ess_analyst

    Splunk 서버에서 모든 통합 관련 활동을 수행하도록 Splunk ES에서 보안 분석가(ess_analyst) 사용자 역할을 할당합니다.

    프로시저

    1. 통합을 위해 에서 ServiceNow Store 이벤트 수집 애플리케이션을 설치하지 Splunk Enterprise Security 않은 경우 를 참조 보안 운영 통합 설치 하고 단계에 따라 설치합니다.
    2. 애플리케이션을 성공적으로 설치한 후 통합 > 통합 구성 이벤트 수집 타일을 Splunk 찾습니다.
    3. 애플리케이션을 구성하려면 새로 만들기를 클릭합니다.

      SplunkEvent 수집 타일
    4. 또는 구성 단추가 타일에 표시되면 클릭하여 기존 구성을 편집합니다.
    5. 표시되는 이벤트 수집 구성 대화 상자에서 필드에 내용을 입력합니다.
      필드설명
      이름 Splunk Enterprise Security 통합에 사용되는 콘솔 또는 Splunk Cloud 인스턴스의 이름입니다.

      이름에는 공백이 지원되지만 괄호는 지원되지 않습니다. 예를 들어 SplunkES2를 입력합니다.
      Splunk API 기준 URL 콘솔 또는 Splunk Cloud 인스턴스의 URL입니다Splunk Enterprise Security. URL에는 API 포트가 포함되어야 합니다(예: https://mysplunkserver.com:8089
      기본 인증 기본값은 사용 안 함입니다.

      구성에 API 계정 사용자 이름 및 API 암호를 사용하는 경우 확인란을 활성화합니다.
      API 계정 사용자 이름 콘솔에서 API 사용자 계정에 Splunk Enterprise Security 대해 생성한 사용자 이름입니다.
      API 암호 콘솔에서 API 사용자 계정에 Splunk Enterprise Security 대해 생성한 암호입니다.
      토큰 기반(버전 12.0.0부터 사용 가능) Splunk 엔터프라이즈 보안 콘솔에서 API 사용자 계정에 대해 생성한 토큰입니다.
      토큰 엔터프라이즈 보안 콘솔에서 API 사용자 계정에 대해 생성한 토큰입니다 Splunk .
      직접 배포 기본값은 사용 안 함입니다.

      의 온 프레미스 기반 버전을 Splunk Enterprise Security사용하는 경우 이 확인란이 선택되어 있는지 확인합니다.
      MID 서버 사용자 환경에 설정할 특정 MID 서버를 선택하는 옵션으로, 이 통합에서 주목할 만한 이벤트를 ServiceNow.
      목록에서 특정 MID 서버를 선택하거나 임의 를 선택하여 이 통합에 대해 유효한 MID 서버를 목록에서 자동으로 선택할 수 있습니다.
      주:
      • 이 구성 시간 동안 선택한 MID 서버는 이 통합 전체에 적용됩니다.
      • 활성 상태이고 유효성이 검사된 MID Server만 이 목록에 표시됩니다. 기본적으로 이 값은 임의로 설정됩니다.

      예를 들어, 세 개의 MID Server A, B, C가 있습니다. 모두를 선택하면 이러한 MID Server 중 하나가 자동으로 선택되고 통합 전체에 적용됩니다. 특정 MID 서버(예: C)를 선택하면 선택한 MID 서버 C가 이 통합 전체에 적용됩니다.

      MID 서버를 변경하려면 앱 구성 타일에서 다시 구성해야 합니다.
      다음 그림은 MID 서버가 있는 온프레미스 버전의 Splunk Enterprise Security 구성에 대해 작성된 양식의 예입니다.
      Splunk 이벤트 수집

      인시던트 검토 콘솔에서 수집하는 Splunk Enterprise Security 주목할 만한 각 Splunk Enterprise Security 이벤트 유형에는 인스턴스에 고유한 이벤트 프로파일이 ServiceNow AI Platform® 필요합니다. 그러나 이벤트 수집 구성 양식에서 구성하는 소스는 각 프로필이 고유한 주목할만한 이벤트 유형을 수집하는 한 여러 ServiceNow AI Platform® 프로필에 다시 사용할 수 있습니다.

    6. 제출을 클릭합니다.
      확인이 성공적으로 완료되면 각 구성과 함께 보안 통합 페이지가 표시됩니다. 유효한 각 구성 타일에는 다음 그림과 같이 업데이트삭제 버튼이 표시됩니다.
      주:
      사용자는 기본 인증 또는 토큰 기반 인증을 사용해야 합니다. 둘 다 사용하도록 설정하면 다음 오류가 발생합니다.
      Splunk 이벤트 수집 구성
      주:
      사용자가 기존 구성 타일을 토큰 기반으로 업데이트하려는 경우 엔터프라이즈 설정 모듈에서 Splunk 토큰 기반 인증 지원 설정에 대한 기존 Splunk 소스 구성을 업데이트하려면 이 설정 활성화를 활성화해야 합니다.

      업데이트/삭제 버튼

      성공적으로 확인 및 제출되면 각 이벤트 수집 Splunk 서버 구성이 보안 통합 페이지에 타일로 저장됩니다. 저장된 구성 타일이 보안 통합 페이지에 표시되지 않으면 페이지 오른쪽 상단 모서리에 있는 구성 표시 목록에서 예를 선택합니다.

    다음에 수행할 작업

    애플리케이션을 성공적으로 설치하고 구성했습니다. 다음 단계는 이벤트 프로파일을 만드는 것입니다.