주목할 만한 이벤트 수집 통합을 위한 Splunk Enterprise Security 검사 목록

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기4분

    • 이 검사 목록을 사용하여 통합의 모든 작업을 안내합니다. 다음 검사 목록에는 설정 및 설치 작업과 통합에 대한 예상 결과를 포함하는 사용 사례의 예가 포함되어 있습니다.

    시작하기 전에

    필요한 역할: admin, sn_si.admin, sn_si.analyst, Splunk Enterprise Security administrator

    이 태스크 정보

    다음 표를 사용하여 통합의 설정, 설치 및 구성으로 진행 상황을 추적합니다. 다음 단계로 이동하기 전에 단계에 대한 모든 작업을 완료합니다. 테이블의 각 행은 작업을 나열하고 작업을 수행하는 데 필요한 역할을 식별합니다. 설치 및 구성 안내서의 번호가 매겨진 주제도 참조됩니다.

    각 작업에 필요한 역할이 다음 테이블의 각 단계와 함께 나열됩니다.

    프로시저

    1. 통합의 설정, 설치 및 구성으로 진행 상황을 추적합니다.
      다음 단계로 이동하기 전에 단계에 대한 모든 작업을 완료합니다.
    2. 표의 단계를 제시된 순서대로 따릅니다.
      표 1. 검사 목록
      확인란

      관리자 역할이 있는 Now Platform 사용자가 인스턴스를 설정합니다 Now Platform .

      • 필요에 따라 sn_si.admin 및 sn_si.analyst 역할을 사용자에게 할당합니다.
      • 서버가 회사 네트워크 내에 배포된 경우 Splunk MID 서버를 설치하고 구성합니다.
      • 플러그인이 ServiceNow 보안 인시던트 응답 릴리스 Now Platform에 맞게 활성화되어 있는지 확인합니다.
      • (선택 사항) 콘솔에서 인스턴스로 Now Platform 이벤트를 수동으로 Splunk Enterprise Security 전달하려면 관리자 권한이 있는 Splunk Enterprise Security 사용자에게 (sn_sec_splunkes.api_account_access) 역할을 할당했는지 확인합니다.

      자세한 내용은 Now Platform 통합을 위한 Splunk Enterprise Security 인스턴스 설정 문서를 참조하십시오.
      확인란

      관리자 역할이 있는 Now Platform 사용자는 에서 ServiceNow Store애플리케이션을 설치하고 구성합니다Splunk Enterprise Security.

      1. 인스턴스에 애플리케이션을 Now Platform 다운로드하여 설치합니다.
      2. 애플리케이션을 구성하고 콘솔에 연결합니다 Splunk Enterprise Security .

      자세한 내용은 주목할 만한 이벤트 수집 통합을 위한 Splunk Enterprise Security 애플리케이션 설치 및 구성 ServiceNow 문서를 참조하십시오.
      확인란

      (선택 사항) 콘솔에서 인스턴스로 Splunk Enterprise SecurityNow Platform 이벤트를 수동으로 익스포트하려면 다음 작업을 수행합니다.

      • Splunk Enterprise Security 관리자는 콘솔에서 splunkbase Splunk Enterprise Security 에 대한 Splunk Enterprise Security 보안 운영 이벤트 수집 추가 기능을 설치, 설정 및 활성화합니다ServiceNow.
      • Splunk Enterprise Security 관리자가 아직 구성을 마치지 않았다면, 검색을 콘솔에서 중요 이벤트 Splunk Enterprise Security 로 저장합니다.

      자세한 내용은 Splunk 주목할 만한 이벤트 수집 통합의 수동 이벤트 수집을 Splunk Enterprise Security 위한 환경 설정 문서를 참조하십시오.
      확인란

      sn_si.admin 역할을 가진 Now Platform 사용자가 이벤트 프로파일을 생성하고 이름을 지정합니다.

      선택 목록에서 프로파일 유형을 선택합니다. 옵션은 샘플 데이터를 수집하는 데 사용하는 예약된 경보 프로파일 또는 콘솔에서 첨부 파일 데이터를 수동으로 Splunk Enterprise Security 익스포트하는 데 사용하는 이벤트 프로파일입니다.

      • 예약된 경보의 경우 사용 가능한 경보를 선택합니다.
      • 수동으로 익스포트된 데이터에 대한 프로파일의 경우 새 맵을 작성하거나 기존 맵을 복사합니다.

      자세한 내용은 이벤트 수집 통합을 위한 Splunk Enterprise Security 이벤트 프로파일 생성 및 이름 지정 문서를 참조하십시오.
      확인란

      sn_si.admin 역할을 가진 Now Platform 사용자는 수집된 값 또는 익스포트되는 첨부 파일 데이터를 보안 인시던트로 Now Platform 매핑 Splunk Enterprise Security 합니다.

      1. 예약된 경보에 대한 샘플 데이터를 가져옵니다.
      2. (선택 사항) 이벤트에서 Splunk Enterprise Security 첨부 파일 데이터를 수동으로 익스포트합니다.
      3. 기본 매핑 구성을 편집합니다.
      4. 필요에 따라 필터링 기준을 추가하고, 기존 보안 인시던트에 경보를 추가하고, 스크립트 편집기를 사용합니다.

      자세한 내용은 통합을 위한 Splunk Enterprise Security 주목할 만한 이벤트 필드 매핑중요 이벤트 인시던트 검토 및 기여 이벤트 상세 정보(예약된 수집)에 대한 Splunk ES 매핑 생성 문서를 참조하십시오.
      확인란
      • sn_si.admin 역할을 가진 Now Platform 사용자는 보안 인시던트에 표시되는 데이터를 Splunk Enterprise 미리 볼 수 있습니다 Now Platform .
      • 오류 메시지가 표시되지 않도록 오류를 수정하거나 누락된 데이터를 추가합니다.

      자세한 내용은 이벤트 수집 통합에 Splunk Enterprise Security 대한 보안 인시던트 미리 보기 문서를 참조하십시오.
      확인란

      sn_si.admin 역할을 가진 Now Platform 사용자는 예약된 경보가 있는 프로파일에 대한 경보 검색을 예약합니다.

      자세한 내용은 이벤트 수집 통합을 위해 Splunk Enterprise Security 새롭고 업데이트된 주목할 만한 이벤트 예약 및 검색 문서를 참조하십시오.
      설정 단계를 성공적으로 완료하고 통합에 대한 예상 결과를 확인했습니다.