통합을 위해 Splunk Enterprise Event Ingestion 콘솔에 Splunk Enterprise 검색을 저장합니다

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • 콘솔에 Splunk Enterprise 검색 내용을 저장하기 위한 다음 단계는 관리자 역할을 가진 Splunk Enterprise 사용자에게 제공됩니다.

    시작하기 전에

    기존에 저장된 검색과 콘솔에 Splunk Enterprise 트리거된 경보가 이미 있는 경우 이 통합에 대해 이러한 검색을 수정할 필요가 없습니다.

    제품을 이벤트 알림 서비스와 통합 Now Platform® Security Operations 하면 Splunk 에서 이벤트 및 경보 정보를 Splunk가져옵니다.

    환경에 경보 Security Operations 를 수집하기 전에 경보로 저장하려는 관련 보안 이벤트를 Splunk Enterprise 자동으로 가져오도록 콘솔에서 Splunk Enterprise 검색을 구성하십시오.

    저장된 검색이 없고 콘솔에서 Splunk Enterprise 중요한 보안 이벤트가 발생할 때 알림을 받도록 설정된 경고를 트리거하지 않은 경우 다음 단계에 따라 검색을 저장합니다.

    필요한 역할: Splunk Enterprise administrator

    프로시저

    1. Splunk Enterprise 계정에 로그인합니다.
    2. 검색 탭을 클릭합니다.
    3. 표시되는 새 검색 필드에 경보 값(예: 맬웨어)을 입력합니다.
    4. 검색과 관련된 이벤트를 보려면 새 검색 필드 오른쪽에 있는 검색 아이콘을 클릭하거나 Enter 키를 누릅니다.
      이벤트가 있는 검색 결과가 표시됩니다.
    5. 검색을 경고로 저장하려면 페이지 오른쪽 위에서 다른 이름으로 저장 선택 목록을 확장하고 경고를 선택합니다.
    6. 표시되는 양식의 필드에 내용을 입력합니다.
      필드설명
      제목 경보를 설명하는 이름입니다(예: 맬웨어 이벤트). 이 검색을 경고로 저장하면 서비스에서 발생한 경고의 Splunk 이벤트가 이 검색 데이터를 사용하여 트리거된 경고로 자동 처리됩니다. 이 트리거된 경보 제목은 인스턴스에서 Now Platform 생성하는 이벤트 프로파일에서 보안 인시던트 생성을 위해 Now Platform® 보안 인시던트 응답 SIR 인스턴스로 수집되는 이벤트를 식별하는 데 사용됩니다.
      (선택 사항) 설명 이 경보를 다른 경보와 구별하는 데 도움을 주는 텍스트입니다.
      경보 유형 표시되는 필드에서 예약 됨을 선택하여 일정에 따라 이 경보를 검색하거나 실시간을 선택하여 이 경보를 지속적으로 검색합니다.
      트리거 결과 다음 필터 조건 중 하나를 설정하는 것이 좋습니다.
      • 결과 수가 다음보다 크거나 작음
      • 각 결과에 대해 일회성(한 번)
      트리거 작업 이 경보를 트리거하는 작업을 추가합니다. 선택 추가 목록을 확장하고 트리거된 경보에 추가를 클릭하여 양식에 표시합니다. 인스턴스로 Now Platform 수집하는 경보에 대해 이 설정을 선호하는 것이 좋습니다.
    7. 저장을 클릭합니다.
      경고가 저장되고 검색 페이지의 경고 탭 아래에 표시됩니다.
      Splunk 서비스는 경보에 구성된 조건과 일치하여 이벤트를 끌어옵니다. 이는 이벤트를 캐시하며, 사용자는 인스턴스에 설정한 Now Platform 프로필에서 이러한 이벤트를 요청합니다. 이벤트의 수집 끌어오기는 서비스의 캐시에서 발생하기 때문에 사용자의 Now Platform 이러한 Splunk 수집은 플랫폼 Splunk 의 성능에 영향을 주지 않습니다.

    다음에 수행할 작업

    콘솔에서 통합에 필요한 설정을 성공적으로 완료했습니다 Splunk Enterprise . 에서 통합을 ServiceNow Store위한 애플리케이션을 아직 설치하지 않은 경우 다음 단계는 통합을 위한 애플리케이션을 설치하고 구성하는 것입니다.