통합에 대한 Splunk Enterprise Event Ingestion 경보 예약 및 검색

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 3분

    • 자동 경보 수집 프로파일의 경우 이 단계는 이벤트 프로파일 구성의 마지막 단계입니다. 이 단계에서 경보 검색에 대한 기본 설정을 확인하거나 필요에 따라 일정을 수정할 수 있습니다. 이 단계를 통해 날짜 범위를 기준으로 경보 검색을 필터링할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.ingestion_profile_admin

    주:
    sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

    이 태스크 정보

    다음 그림과 같이 프로파일 구성에 대한 진행률 표시줄의 모든 단계를 완료한 후 수동 이벤트 전달을 위한 프로파일 구성을 완료했습니다. 콘솔에서 수동으로 Splunk Enterprise 전달된 이벤트에 사용할 수 있는 일정이 없습니다. 자동 경보 수집을 위한 프로필의 경우 예약 단계 중에 이전 경보를 수집할지 여부를 선택합니다. 경보 프로파일 구성과 일치하는 향후 경보를 폴링할 빈도를 선택할 수도 있습니다.

    그림 1. 진행률 표시줄
    진행률 표시줄.

    자동 경보 수집 프로파일의 경우 프로파일이 활성화되기 전에 예약 및 경보 검색을 확인하고 수정합니다. 이 단계는 예약된 경보 프로파일에 대한 이벤트 프로파일 구성 프로세스의 마지막 단계입니다.

    프로파일별로 이러한 폴링 간격을 구성합니다. 이벤트 수집 통합의 Splunk 성능은 다양한 폴링 간격의 영향을 받습니다. 일정을 예약할 때 시스템 부하와 인시던트 긴급도의 균형을 맞추는 것이 좋습니다. 모든 프로파일에 대해 5분 기본값이 설정되지만 인시던트의 긴급도와 시스템의 예상 로드에 따라 이 설정을 수정하는 것이 좋습니다.

    Splunk Enterprise 콘솔에서 증분 또는 특정 시간을 기반으로 트리거할 경보를 설정합니다. 이 설정을 사용하면 콘솔의 시간 증분이 인스턴스에서 설정한 ServiceNow AI Platform 일정과 동기화되도록 인스턴스의 일정을 ServiceNow AI Platform 구성할 수 있습니다Splunk Enterprise.

    프로시저

    1. 진행률 표시줄에 스케줄링 페이지가 표시되지 않으면 스케줄링을 선택합니다.
    2. 콘솔에서 경보를 끌어오는 Splunk Enterprise 방법과 시기를 예약하려면 하나를 선택합니다.
      옵션설명
      • 진행 중인 경보 필드 선택됨
      • 일회성 검색 필드 지워짐
      		 진행 중인 경보

      기본 설정에 ServiceNow AI Platform 따라 인스턴스는 5분마다 서버에서 새 경보를 가져옵니다 Splunk Enterprise . 트리거된 경보가 발견되고 필터링 기준이 일치하면 보안 인시던트가 생성됩니다. 서버 부하에 대한 경보 수집의 균형을 맞추고 최신 데이터를 끌어오려면 5분 설정을 사용하는 것이 좋습니다. 그러나 이 값은 필요에 따라 수정할 수 있습니다.
      • 진행 중인 경보 필드 지워짐
      • 일회성 검색 필드 선택됨
      		 일회성 검색

      과거 이벤트를 기반으로 경보를 수집하기 위해 일회성 끌어오기를 원하는 경우 이 구성을 사용합니다.

      구성된 프로파일은 날짜 범위를 기반으로 하는 기록 이벤트의 경보를 포함하여 트리거된 경보를 검색하는 데 한 번 사용됩니다. 날짜 이후 필드 오른쪽에서 달력 아이콘을 클릭합니다. 표시되는 달력에서 경보 가져오기를 시작할 날짜를 선택합니다. 날짜 이후 값부터 트리거된 경보는 현재 날짜까지 검색됩니다.

      경보를 끌어온 후 이 설정은 현재 날짜에서 앞으로 진행되는 이 프로필에 대해 트리거된 경보를 검색하지 않습니다. 이 설정은 입력한 범위에서 발견된 모든 경보로 보안 인시던트를 채웁니다.

      달력이 표시된 예약 페이지입니다.

      예약의 예로, 현지 시간으로 하루에 한 번 오전 4시에 실행되는 일일 Splunk 경보가 있는 경우, 현지 시간으로 오전 4시 5분에 실행되도록 인스턴스의 해당 경보 프로필을 ServiceNow AI Platform 설정하여 경보를 즉시 캡처하고 보안 인시던트를 만들 수 있습니다. 초기 경보 수집 필드에 04 05 00을 입력합니다. 증분(분) 필드에 1440(24시간)을 입력하여 초기 경보 수집으로부터 24시간 동안 다음 경보 수집을 예약합니다. 초기 경보 수집 시간과 다음 경보 수집 시간이 모두 필드에 표시됩니다.

    3. 이 예제의 설정을 구성하려면 다음 단계를 수행합니다.
      1. 예약 페이지가 표시되면 진행 중인 경보 확인란을 선택하여 이 옵션을 활성화합니다.
      2. 증분(분) 필드에 1440(24시간)을 입력합니다.
      3. 초기 경보 수집 및 다음 경보 수집 필드를 편집할 수 있도록 하려면 초기 경보 수집 선택 확인란을 클릭합니다.
      4. 초기 경보 수집 필드에 04 05 00을 입력합니다.
        다음 경보 수집(예상) 필드에 다음 경보 수집 시간이 표시됩니다.
    4. Finish(마침)를 클릭하여 구성을 완료합니다.
      확인 대화 상자가 표시됩니다. 통합에 대한 설정 및 구성을 성공적으로 완료했습니다. 이 프로파일이 활성화되고 일정에 따라 콘솔에서 경보를 Splunk Enterprise 가져옵니다. 24시간 동안 생성할 수 있는 보안 인시던트는 1,000개로 제한됩니다. 발생한 경보당 최대 100개의 이벤트가 발생합니다. 제한에 도달하면 후속 이벤트가 무시됩니다.