엔터프라이즈 보안 설정 구성 Splunk

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기2분

    • Splunk ES(엔터프라이즈 보안) 설정을 사용하여 사전 설정 구성과 해당 값을 요구 사항에 따라 수정합니다.

    시작하기 전에

    필요한 역할: 관리자

    프로시저

    1. 다음으로 이동 모두 > Splunk ES 통합 > Splunk ES 설정.
    2. 양식에서 필드를 채웁니다.
      표 1. Splunk ES 설정
      필드 설명
      단일 인시던트로 집계할 수 있는 주목할 만한 이벤트의 수를 제한하십시오. 단일 인시던트로 집계하려는 중요 이벤트의 수를 제한하는 옵션입니다.

      기본적으로 이 값은 100으로 설정됩니다.
      24시간 동안 만들 수 있는 보안 인시던트 수를 제한하십시오. 24시간 동안 만들 수 있는 보안 인시던트 수를 제한하는 옵션입니다.

      기본적으로 이 값은 1000으로 설정됩니다.
      에서 Splunk수신한 각 필드에서 구문 분석할 값의 수를 제한하십시오. 에서 받은 Splunk각 필드에 대해 구문 분석할 값의 수를 제한하는 옵션입니다.

      기본적으로 이 값은 1000으로 설정됩니다.
      가져올 Splunk상관관계 규칙의 수입니다. 에서 Splunk검색할 상관 관계 규칙의 수를 정의하는 옵션입니다.

      기본적으로 이 값은 500으로 설정됩니다.
      검색 작업에 대한 Splunk 유효 기간(Time-to-Live) 매개변수(초)입니다. 검색에 대한 Splunk 유효 기간 매개변수를 초 형식으로 정의하는 옵션입니다.

      기본적으로 이 값은 600으로 설정됩니다.
      한 번의 검색으로 일괄 처리할 주목할 만한 유형의 수입니다. 단일 검색에서 배치하려는 주목할 만한 유형의 총 수를 정의하는 옵션입니다.

      기본적으로 이 값은 20으로 설정됩니다.
      검색 작업 메타데이터를 유지할 Splunk 일수 ServiceNow Splunk 검색 작업 메타데이터를 ServiceNow유지하려는 일 수를 정의하는 옵션입니다.

      기본적으로 이 값은 30으로 설정됩니다.
      필드 매핑에서 값을 분할하는 구분 기호 문자입니다. 필드 매핑에서 값을 분할할 구분 기호를 정의하는 옵션입니다.

      기본적으로 값은 (,)으로 설정됩니다.
      에서 Splunk 이벤트를 가져오는 동안 추가할 중복 시간(분)(Splunk의 인덱싱 지연 극복) 에서 인덱싱 지연Splunk을 극복하기 위해 이벤트를 Splunk 검색하는 동안 추가할 중복 시간(분)을 정의하는 옵션입니다.

      기본적으로 이 값은 30으로 설정됩니다.
      업데이트된 주목할 만한 이벤트 끌어오기 업데이트된 중요 이벤트를 검색하는 옵션입니다.

      기본적으로 값은 아니요로 설정됩니다.
      토큰 기반 인증 지원을 위한 기존 Splunk 소스 구성을 업데이트하려면 이 설정을 활성화합니다. 이 설정을 사용하도록 설정한 후 토큰 상세 정보로 통합 구성을 업데이트해야 합니다. 기존 Splunk 소스 구성을 기존 버전의 토큰 기반 인증 지원으로 업데이트하는 옵션입니다.
      주:
      새 버전으로 업그레이드하면 토큰 필드를 사용할 수 없게 됩니다. 토큰 기반 인증을 가져오려면 이 설정을 활성화해야 하며, 그 후에는 토큰 상세 정보로 통합 구성을 업데이트해야 합니다.

      기본적으로 값은 아니요로 설정됩니다.
    3. 저장을 클릭합니다.