ServiceNow AI Platform 통합을 위한 Splunk Enterprise Security 인스턴스 설정

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 4분

    • 다음 섹션에서는 에서 애플리케이션을 ServiceNow Store설치하기 전에 인스턴스에서 완료해야 ServiceNow AI Platform® 하는 설정 작업을 나열합니다.

    필요한 역할: sn_si.ingestion_profile_admin.

    주:
    sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

    원활한 설치 및 구성을 위해 애플리케이션을 다운로드하고 설치하기 전에 다음 테이블을 참조하고 나열된 작업을 모두 완료했는지 확인하십시오.

    1. 필수 ServiceNow AI Platform®보안 인시던트 응답 (SIR) 역할을 할당했는지 확인합니다.

      인스턴스에서 통합을 ServiceNow AI Platform® 설치, 설정 및 사용하려면 다음 역할이 필요합니다.

      • 관리자 역할(admin)을 ServiceNow AI Platform® 가진 사용자는 보안 인시던트 관리자(sn_si.admin) 역할을 사용하여 애플리케이션을 ServiceNow Store 설치합니다.
      • 이 통합에서 주목할 만한 이벤트를 수동으로 Splunk Enterprise Security 전달하려면 admin 역할을 가진 ServiceNow AI Platform® 사용자가 에서 (sn_sec_splunkes.api_account_access) 역할을 ServiceNow AI Platform®가진 사용자를 할당합니다. 이 역할을 사용하면 관리자 역할이 있는 Splunk Enterprise Security 사용자가 이 통합에 대한 수동 이벤트 전달에 필요한 API ServiceNow AI Platform® 에 액세스할 수 있습니다.

        중요한 이벤트를 인스턴스에서 자동으로 Splunk Enterprise SecurityServiceNow AI Platform® 수집하는 경우 통합에 (sn_sec_splunkes.api_account_access) 역할이 필요하지 않습니다.

      • sn_si.ingestion_profile_admin 역할을 가진 사용자는 다음에서 ServiceNow AI Platform®다음 작업을 감독합니다
        • . 이벤트 프로파일 이름 지정, 생성 및 편집.
        • Splunk Enterprise Security 값을 선택하고 보안 인시던트에 매핑합니다 ServiceNow AI Platform® .
        • 구성을 완료하기 전에 보안 인시던트 상세 정보가 정확한지 미리 봅니다.
        • 진행 중인 주목할 만한 이벤트 수집을 예약합니다.
        • SIR 인시던트가 생성되고 종결될 때 주목할 만한 이벤트 업데이트를 활성화합니다.
        • 보안 인시던트 분석가(sn_si.analyst) 역할을 할당합니다.
        • sn_si.analyst 사용자는 보안 인시던트에 대한 작업을 수행합니다.

      자세한 내용은 다음 문서를 참조하십시오 Managing roles.

    2. 사용자 역할을 할당합니다 Splunk .

      에서 Splunk 보안 분석가(ess_analyst) 사용자 역할 할당 서버에서 모든 통합 관련 작업을 Splunk 수행하기 위한 ES

    3. API 버전 7.2.6 이상을 Splunk 사용하고 있는지 확인합니다. 이전 버전은 지원되지 않습니다.

      콘솔에 액세스할 Splunk Enterprise Security 수 있는 경우 이 통합에 필요한 API에 액세스할 수 있습니다. API에 필요한 다른 특수 설정은 없습니다.

    4. MID Server를 설치하고 구성했는지 확인하십시오.

      MID 서버ServiceNow AI Platform® 서버가 회사 네트워크 내에 배포된 경우 Splunk 인스턴스에 있는 A가 서비스에 연결 Splunk 되어야 합니다. 자세한 내용은 MID 서버를 참조하십시오.

      클라우드 서비스를 사용하는 Splunk Enterprise Security 경우에는 a MID 서버 가 필요하지 않습니다.

    5. ServiceNow 통합을 지원하는 데 필요한 핵심 애플리케이션이 설치되고 활성화되었는지 확인합니다.

      보안 인시던트 응답 Dependency 플러그인(com.snc.si_dep)이 필요합니다. 이 플러그인은 제품을 지원하는 데 필요한 모든 종속성을 보안 인시던트 응답 자동으로 설치합니다. 통합에 필요한 다른 보안 운영 애플리케이션을 설치하고 활성화하기 전에 이 플러그인을 설치하고 활성화합니다.

      에서 ServiceNow Store다음 보안 운영 애플리케이션이 설치되고 활성화되는지 확인합니다. 설치되지 않은 경우 원활한 설치를 위해 다음 순서로 한 번에 하나의 애플리케이션을 설치하고 활성화합니다.

      1. 보안 인시던트 응답
      2. 보안 통합 프레임워크
      3. 보안 지원 공통
      핵심

      애플리케이션 설치에 보안 운영 대한 자세한 내용은 해당 애플리케이션 활성화 ServiceNow Store문서를 제품 또는 애플리케이션에 대한 보안 운영 권리 가져오기 참조하십시오.

    통합을 위한 인스턴스를 성공적으로 설정 ServiceNow AI Platform® 했습니다. 다음 단계는 통합을 위해 에서 ServiceNow Store 주목할 만한 이벤트 수집 애플리케이션을 설치하는 Splunk Enterprise Security 것입니다. 자세한 내용은 주목할 만한 이벤트 수집 통합 설치 및 구성 Splunk Enterprise Security 문서를 참조하십시오.

    통합을 위해 콘솔에서 주목할 만한 이벤트를 요청 시 Splunk Enterprise Security 수동 익스포트하려면 문서를 Splunk 주목할 만한 이벤트 수집 통합의 수동 이벤트 수집을 Splunk Enterprise Security 위한 환경 설정 참조하십시오.