Splunk Enterprise Event Ingestion 에 대한 Security Operations 통합 ServiceNow

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • Splunk Enterprise() 제품과 이벤트 및 경보 데이터를 통합하면 보안 인시던트 분석가가 보안 인시던트 응답SIR보안 로그 및 관련 이벤트 데이터를 수집하고 처리할 수 있습니다.

    개요

    데이터는 실시간으로 수집되며 분석가는 잠재적인 사이버 위협을 식별하고 보고하는 데 사용합니다. 수집된 보안 이벤트를 트리거된 경보로 처리하여 이 통합을 통해 자동으로 수집할 수 있습니다. 또한 요청 시 검색 및 보고 인터페이스에서 Splunk Enterprise 개별 보안 이벤트를 제품의 제품으로 보안 인시던트 응답Now Platform 수동으로 전달하여 보안 인시던트를 생성할 수 있습니다. 검색 헤드 클러스터 구성을 사용하여 검색에서 Splunk Enterprise 주목할 만한 이벤트를 검색할 수 있습니다. 클러스터의 일부인 검색 헤드의 URL 및 API 포트를 사용하여 이 작업을 수행할 수 있습니다.

    이 통합은 보안 운영 센터(SOC) 분석가에게 이벤트 및 관련 경보 데이터에 대한 가시성을 제공합니다. 이 데이터는 추가 조사 및 수정을 위해 (SIR) 보안 인시던트에 Now Platform 보안 인시던트 응답 통합될 수 있습니다. 진행 중인 수집된 경보 및 전달된 이벤트에 대한 Splunk 프로필이 인스턴스에 생성됩니다 Now Platform . 이러한 프로필은 보안 인시던트에 SIR 다양한 Splunk 경고 및 이벤트 필드가 표시되는 방식을 사용자 지정합니다. 고객별 요구 사항에 맞게 편집 및 보강할 수 있는 경보 필드의 기본 매핑이 제공됩니다.

    주요 기능

    이 통합에는 다음과 같은 주요 기능이 포함됩니다.

    • 여러 경보 수집 프로필을 생성하여 피싱 및 맬웨어와 같은 특정 유형의 위협에 대한 SIR 보안 인시던트를 생성합니다.
    • 콘솔에서 Splunk 요청 시 이벤트 전달을 위한 여러 이벤트 프로파일을 생성하여 SIR 보안 인시던트를 생성합니다.
    • 경보 및 이벤트 필드 값을 연관된 SIR 보안 인시던트 필드에 끌어서 놓기로 매핑 Splunk 합니다.
    • 프로필 구성을 확인하기 위한 샘플 경보 또는 이벤트를 기반으로 하는 보안 인시던트 레이아웃의 미리 보기 SIR 입니다.
    • 구성 가능한 간격으로 기록 경보뿐만 아니라 진행 중인 향후 경보를 수집합니다.
    • 일치하는 필드 값을 기반으로 기존 SIR 보안 인시던트에 대한 이벤트 또는 경보를 집계하여 보안 인시던트 중복을 방지합니다.

    지원되는 Now Platform 버전

    com.snc.si_dep 플러그인이 필요합니다. 이 플러그인은 제품을 지원하는 보안 인시던트 응답 데 필요한 모든 의존성을 자동으로 설치합니다. 다른 Security Operations 애플리케이션을 설치 및 활성화하기 전에 이 플러그인을 설치하고 활성화하십시오.

    에서 ServiceNow Store다음 Security Operations 애플리케이션을 설치하고 활성화해야 합니다. 원활한 설치를 위해 아래 나열된 순서대로 한 번에 하나의 애플리케이션을 설치하고 활성화하십시오.
    1. 보안 통합 프레임워크
    2. Security Support Common
    3. 보안 지원 오케스트레이션
    4. Security Incident Response

    핵심 응용 프로그램 설치에 Security Operations 대한 자세한 내용은 해당 문서를 애플리케이션 활성화 ServiceNow Store참조하십시오제품 또는 애플리케이션에 대한 Security Operations 권리 가져오기.

    ServiceNow Addons

    ServiceNow Security Operations 이벤트 수집 추가 기능은 Splunk Enterprise 콘솔에서 Splunk Enterprise 인스턴스로 Now Platform 이벤트를 수동으로 전달하려는 경우에만 필요합니다. 이 애드온은 ServiceNowsplunkbase에서 사용할 수 있습니다.

    Splunkbase의 애플리케이션에 대한 Splunk EnterpriseServiceNow Security Operations 이벤트 수집 추가 기능은 통합에서 지원하는 자동 경보 수집에 필요하지 않습니다.

    Splunk 지원되는 버전

    이 통합은 버전 6.0 이상을 Splunk Enterprise지원합니다. 통합은 엔터프라이즈 클라우드 서비스도 지원합니다 Splunk .

    MID Server

    이 통합을 위해서는 서버가 회사 네트워크 내에 배포된 경우 Splunk 서비스에 연결 Splunk 하기 위해 인스턴스에 MID Server Now Platform® 가 설치 및 구성되어 있어야 합니다. 서비스를 사용하는 Splunk Cloud 경우에는 MID Server가 필요하지 않습니다. MID Server에 대한 자세한 내용은 MID Server를 참조하십시오.

    통합 아키텍처 및 시스템 연결

    주요 용어 및 외부 시스템 연결 세부 정보를 포함하여 통합 아키텍처에 대한 자세한 내용은 을 참조하십시오 통합을 위한 Splunk Enterprise Event Ingestion 통합 아키텍처 및 외부 시스템 연결.

    검사 목록

    이러한 항목의 인쇄 가능한 검사 목록은 을 참조하십시오 주목할 만한 이벤트 수집 통합을 위한 Splunk Enterprise Security 검사 목록. 이 목록을 사용하여 통합 작업을 진행하면서 진행 상황을 모니터링할 수 있습니다.

    다음 주제에 사용된 이미지는 의 Kingston 릴리스 Now Platform용으로 생성되었습니다. San Diego 사용자 인터페이스에 대한 자세한 내용은 보안 분석가 작업 공간을 사용하여 보안 위협 관리를 참조하세요.

    다음 항목에는 번호가 매겨져 있습니다. 애플리케이션의 원활한 설치 및 구성을 위해 아래에 나열된 항목을 제시된 순서대로 따르십시오.