통합을 위한 Splunk Enterprise Event Ingestion 통합 아키텍처 및 외부 시스템 연결
다음 항목에서는 콘솔에서 트리거된 경보 Splunk Enterprise 수집을 지원하기 위해 개발된 통합 아키텍처에 대해 간략하게 설명합니다. 이 정보는 통합의 개념적 작업을 개략적으로 설명합니다. 또한 에서 ServiceNow Store애플리케이션을 설치하기 전에 필요한 설정 단계가 있는 이유도 설명합니다.
이 통합에 사용된 주요 용어
다음 주요 용어는 설치 및 구성 중에 사용됩니다. 이 약관에 대한 자세한 내용은 ServiceNow 제품 설명서 웹 사이트 와 Splunk 웹 사이트 및 Splunk 자원 페이지의 자원을 참조하십시오.
- ServiceNow AI Platform
- 엔터프라이즈 ServiceNow 제품입니다. ServiceNow AI Platform 는 (),SIR ITSM(IT Service Management) 및 기타 제품과 같은 보안 인시던트 응답 개별 구성요소의 기반입니다.
- ServiceNow Splunkbase 애드온
- 통합의 수동 이벤트 전달 옵션을 지원하는 콘솔에 설치된 Splunk Enterprise 애플리케이션입니다ServiceNow. 수동 이벤트 전달은 통합의 선택적 기능입니다. 이 ServiceNow Splunkbase 추가 기능은 통합에서 제공하는 자동화된 경보 수집에 필요하지 않습니다.
- 보안 인시던트 응답(SIR)
- ServiceNow AI Platform 검색 및 초기 분석부터 방지, 근절 및 복구를 거쳐 최종 사후 인시던트 검토 및 종결에 이르는 보안 인시던트의 진행 상황을 추적하는 애플리케이션입니다.
- Splunk Enterprise
- 인시던트 분석 및 관리에 사용되는 데이터를 수집하는 자동화된 SIEM(보안 인시던트 이벤트 관리) 제품 또는 클라우드 서비스입니다. 이 서비스는 이 가이드에서 콘솔이라고도 하는 호스트에 Splunk 있습니다.
- Splunk 경보
- 서비스에서 설정한 매개변수를 기반으로 특정 데이터를 검색하기 위해 구성하고 저장하는 Splunk 검색입니다 Splunk Enterprise . 에서 경보 Splunk를 끌어올 때 해당 경보와 연결된 모든 이벤트도 끌어옵니다.
- Splunk 트리거된 경보
- 결과를 반환하고 이러한 결과에 트리거된 경보로 플래그를 지정하는 콘솔의 Splunk Enterprise 구성된 검색입니다. 트리거된 경보는 이 통합을 위해 콘솔에서 인스턴스 ServiceNow AI Platform 로 수집 Splunk 됩니다. 트리거된 경보에는 하나 이상의 Splunk 이벤트가 있습니다.
- Splunk 이벤트
- 서비스의 트리거된 경보를 Splunk 발생시키는 하나 이상의 데이터 요소입니다. 인스턴스에서 ServiceNow AI Platform 보안 Splunk 인시던트를 트리거 ServiceNow AI Platform 한 이벤트를 조회할 수 있습니다.
- MID 서버
- 이 애플리케이션은 외부 애플리케이션, 데이터 소스 및 서비스 간의 데이터 이동 및 통신을 용이하게 합니다 ServiceNow AI Platform . 이 애플리케이션은 일반적으로 온프레미스 기술과의 통합에 필요하며, 이러한 Splunk Enterprise Event Ingestion 통합을 위해 MID 서버는 의 온프레미스 인스턴스와 의 온프레미스 인스턴스 Splunk Enterprise간의 ServiceNow AI Platform 통신을 용이하게 합니다. 인스턴스를 인스턴스와 Splunk Cloud 통합하는 ServiceNow AI Platform 경우에는 MID 서버가 필요하지 않습니다.
- 보안 인시던트 관리자(sn_si.admin)
- 이 역할이 있는 사용자는 인스턴스의 제품과의 SIR 통합 구성을 감독합니다 ServiceNow AI Platform .
- 보안 인시던트 분석가(sn_si.analyst)
- 이 역할을 가진 사용자는 제품의 보안 인시던트와 상호작용하고 이를 분석합니다 ServiceNow 보안 인시던트 응답 .
- 보안 인시던트 프로파일 관리자(sn_si.ingestion_profile_admin)
- 이 역할을 가진 사용자는 인스턴스의 제품에 ServiceNow AI Platform 대한 SIR Azure Sentinel, Splunk 및 Splunk ES 통합에 대한 플러그인을 구성하고 수집 프로필을 생성, 편집, 삭제 및 유지 관리합니다.
외부 시스템 연결
이벤트 프로파일은 단일 연결에 대해 생성하고, 이름을 지정하고, 구성하는 컨테이너이며, 특정 기준과 일치하는 가장 최근의 트리거된 경보를 Splunk 끌어오기 위해 서비스를 호출합니다. 프로파일과 일치하는 트리거된 경보를 에서 끌어온 Splunk후에는 이러한 경보 중 보안 인시던트로 표시할 경보를 ServiceNow AI Platform 보안 인시던트 응답 SIR 선택합니다. 경보 필드의 기본 뷰를 Splunk Enterprise 사용할 수 있으며, 필요에 맞게 경보 필드와 보안 인시던트의 필드 SIR 매핑을 편집합니다. 매핑을 미리 보고 보안 인시던트에 SIR 필요한 모든 경보 필드 값이 채워져 있는지 확인합니다. 경보 프로파일 구성을 완료하려면 경보 검색을 예약한 다음 프로파일을 활성화합니다. 에서 ServiceNow AI Platform프로파일을 활성화하면 기록 및 진행 중인 Splunk 경보를 자동으로 수집할 준비가 된 것입니다.
sn_si.admin 역할을 가진 사용자가 새로 트리거된 경보가 이전에 수집된 경보와 유사한 것을 확인하면 새로 트리거된 경보를 기존 SIR 보안 인시던트로 집계할 수 있습니다. 기존 보안 인시던트가 업데이트되는 시기와 새 보안 인시던트가 생성되는 시기를 정의하는 경보 프로파일에서 Splunk Enterprise 일치하는 대상 필드 값을 지정하는 기준을 설정합니다. 이벤트 프로파일에서 집계 기능이 활성화된 경우 임포트 세트가 변환되면 ServiceNow AI Platform 인스턴스는 대상 테이블에 대상 및 소스 필드에 동일한 값이 있는 기존 기록을 확인합니다. 대상 테이블에서 일치하는 값이 있는 기존 기록이 발견되면 해당 기록이 업데이트됩니다. 일치하는 기록이 없으면 대상 테이블에 새 기록이 생성됩니다. 이 옵션을 사용하면 집계 옵션을 사용하면 새로 트리거된 경보로 기존 보안 인시던트를 업데이트하므로 여러 보안 인시던트가 생성되는 경우를 방지할 수 있습니다. 집계 옵션을 사용하여 기록을 업데이트하는 방법에 대한 자세한 내용은 병합을 사용하여 기록 업데이트를 참조하십시오.
이 애플리케이션은 API 서비스를 사용하여 Splunk 서비스에서 정보를 Splunk 검색합니다. 통합이 제대로 작동하려면 MID 서버에서 이 환경으로의 아웃바운드 HTTPS 연결이 필요합니다.
통합이 서비스에 연결되면 Splunk 통합은 보안 인시던트를 트리거하는 트리거된 경보 및 이벤트의 끌어오기 및 수집을 지원합니다.
기본 데이터 흐름은 다음 그림에 설명되어 있습니다. 각 그림에서 데이터를 ServiceNow AI Platform 끌어오는(수집) 중입니다. Splunk 예약된 경보에 대한 데이터를 푸시하지 않습니다.