주목할 만한 이벤트 수집 통합을 위한 Splunk Enterprise Security 검사 목록

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 이 검사 목록을 사용하여 통합의 모든 작업을 안내합니다. 다음 검사 목록에는 설정 및 설치 작업과 통합에 대한 예상 결과를 포함하는 사용 사례의 예가 포함되어 있습니다.

    시작하기 전에

    필요한 역할: admin, sn_si.admin, sn_si.analyst, Splunk Enterprise Security 관리자

    이 태스크 정보

    다음 테이블을 사용하여 통합의 설정, 설치 및 구성을 통해 진행 상황을 추적합니다. 다음 단계로 이동하기 전에 한 단계의 모든 작업을 완료합니다. 테이블의 각 행은 작업을 나열하고 작업을 수행하는 데 필요한 역할을 식별합니다. 설치 및 구성 안내서의 번호가 매겨진 항목도 참조됩니다.

    각 작업에 필요한 역할이 다음 표의 각 단계와 함께 나열됩니다.

    프로시저

    1. 통합의 설정, 설치 및 구성으로 진행률을 추적합니다.
      다음 단계로 이동하기 전에 한 단계의 모든 작업을 완료합니다.
    2. 표에 제시된 순서대로 단계를 수행합니다.
      표 1. 검사 목록
      확인란

      관리자 역할을 가진 Now Platform 사용자로서 인스턴스를 설정합니다 Now Platform .

      • 필요에 따라 sn_si.admin 및 sn_si.analyst 역할을 사용자에게 할당합니다.
      • 서버가 회사 네트워크 내에 배포된 경우 MID Server를 Splunk 설치하고 구성합니다.
      • 의 릴리스Now Platform에 대해 플러그인이 활성화되어 있는지 ServiceNow 보안 인시던트 응답 확인합니다.
      • (선택 사항) 콘솔에서 Splunk Enterprise Security 인스턴스로 Now Platform 이벤트를 수동으로 전달하려면 관리자 권한이 있는 Splunk Enterprise Security 사용자에게 (sn_sec_splunkes.api_account_access) 역할을 할당했는지 확인합니다.

      자세한 내용은 통합을 위한 Splunk Enterprise Security 인스턴스 설정 Now Platform 문서를 참조하십시오.
      확인란

      관리자 역할을 가진 Now Platform 사용자는 에서 애플리케이션을 ServiceNow Store설치하고 구성합니다Splunk Enterprise Security.

      1. 인스턴스에 애플리케이션을 Now Platform 다운로드하여 설치합니다.
      2. 애플리케이션을 구성하고 콘솔에 Splunk Enterprise Security 연결합니다.

      자세한 내용은 중요 이벤트 수집 통합을 위한 Splunk Enterprise Security 애플리케이션 설치 및 구성 ServiceNow 문서를 참조하십시오.
      확인란

      (선택 사항) 콘솔에서 Splunk Enterprise Security 인스턴스로 Now Platform 이벤트를 수동으로 익스포트하려면 다음 작업을 수행하십시오.

      • 관리자로서 Splunk Enterprise Security 콘솔의 splunkbase에서 ServiceNow Security Operations 이벤트 수집 추가 기능을 Splunk Enterprise Security 설치, 설정 및 활성화합니다 Splunk Enterprise Security .
      • 관리자로서 Splunk Enterprise Security 아직 구성하지 않은 경우 검색을 콘솔에 Splunk Enterprise Security 중요 이벤트로 저장합니다.

      자세한 내용은 중요 이벤트 수집 통합을 위한 수동 이벤트 수집을 Splunk Enterprise Security 위한 환경 설정 Splunk 문서를 참조하십시오.
      확인란

      sn_si.admin 역할을 가진 Now Platform 사용자로 이벤트 프로파일을 만들고 이름을 지정합니다.

      선택 목록에서 프로파일 유형을 선택합니다. 옵션은 샘플 데이터를 수집하는 데 사용하는 예약된 경보 프로필 또는 콘솔에서 첨부 파일 데이터를 수동으로 내보내는 데 사용하는 이벤트 프로필입니다 Splunk Enterprise Security .

      • 예약된 경보의 경우 사용 가능한 경보를 선택합니다.
      • 수동으로 익스포트한 데이터에 대한 프로파일의 경우 새 맵을 생성하거나 기존 맵을 복사합니다.

      자세한 내용은 이벤트 수집 통합을 위한 Splunk Enterprise Security 이벤트 프로파일 생성 및 이름 지정 문서를 참조하십시오.
      확인란

      sn_si.admin 역할을 가진 Now Platform 사용자는 수집된 값 또는 보안 인시던트로 익스포트 Splunk Enterprise SecurityNow Platform 된 첨부 파일 데이터를 매핑합니다.

      1. 예약된 경보에 대한 샘플 데이터를 가져옵니다.
      2. (선택 사항) 이벤트의 Splunk Enterprise Security 첨부 파일 데이터를 에서 수동으로 익스포트합니다.
      3. 기본 매핑 구성을 편집합니다.
      4. 선택적으로 필터링 기준을 추가하고, 기존 보안 인시던트에 경고를 추가하고, 스크립트 편집기를 사용합니다.

      자세한 내용은 통합을 위한 Splunk Enterprise Security 중요 이벤트 필드 매핑주목할 만한 이벤트 인시던트 검토 및 기여 이벤트 상세 정보에 대한 Splunk ES 매핑 생성(예약된 수집) 문서를 참조하십시오.
      확인란
      • sn_si.admin 역할을 가진 Now Platform 사용자는 보안 인시던트에 표시되는 데이터를 Splunk Enterprise 미리 봅니다 Now Platform .
      • 오류 메시지가 표시되지 않도록 오류를 수정하거나 누락된 데이터를 추가합니다.

      자세한 내용은 이벤트 수집 통합에 Splunk Enterprise Security 대한 보안 인시던트 미리 보기 문서를 참조하십시오.
      확인란

      sn_si.admin 역할을 가진 Now Platform 사용자는 예약된 경보가 있는 프로파일에 대한 경보 검색을 예약합니다.

      자세한 내용은 이벤트 수집 통합에 대한 Splunk Enterprise Security 신규 및 업데이트된 중요 이벤트 예약 및 검색 문서를 참조하십시오.
      설정 단계를 성공적으로 완료했으며 통합에 대한 예상 결과를 확인했습니다.