통합을 위한 Splunk Enterprise Event Ingestion 애플리케이션 설치 및 구성 ServiceNow
인스턴스에서 Now Platform® 통합을 실행하기 전에 다음 설치 및 구성 단계를 완료하여 애플리케이션이 인스턴스의 Now Platform® AND Security Operations 제품과 올바르게 통합 보안 인시던트 응답 되도록 합니다.
시작하기 전에
필요한 역할: admin
프로시저
-
응용 프로그램을 구성하려면 New( 새로 만들기)를 클릭합니다.
-
표시되는 이벤트 수집 구성 대화 상자에서 필드를 채웁니다.
필드 설명 이름 통합에 Splunk Enterprise 사용되는 콘솔 또는 Splunk Cloud 인스턴스의 이름입니다. 이름에 공백은 지원되지만 괄호는 지원되지 않습니다. 예를 들어 HQ-USA 또는 HQ USA를 입력합니다.
Splunk API 기준 URL 콘솔 또는 Splunk Cloud 인스턴스의 URL입니다Splunk Enterprise. 기본 인증 기본값은 disabled입니다. 구성에 API 계정 사용자 이름 및 API 암호를 사용하는 경우 확인란을 활성화합니다.
API 계정 사용자 이름 콘솔에서 Splunk Enterprise 개별 사용자 계정에 대해 생성한 사용자 이름입니다. API 암호 콘솔에서 개별 사용자 계정에 대해 생성한 암호입니다 Splunk Enterprise . 토큰 기반(버전 12.0.0에서 사용 가능) 콘솔에서 API 사용자 계정에 대해 생성한 토큰 기반 인증입니다 Splunk Enterprise .
토큰 콘솔에서 API 사용자 계정에 대해 생성한 토큰입니다 Splunk Enterprise . MID Server 사용자 환경에 설정된 특정 MID Server입니다. 활성화되고 유효성이 확인된 MID Server만 이 선택 목록에서 사용할 수 있습니다. 직접 배포 기본값은 disabled입니다. 의 클라우드 기반 버전을 Splunk Enterprise사용하는 경우에는 확인란의 선택이 취소되어 있는지 확인합니다.
이 옵션을 사용하는 경우 MID Server 선택 목록이 표시됩니다. 의 온프레미스 버전을 Splunk Enterprise사용하는 경우 다음 단계에 따라 MID Server를 선택합니다.
- 확인란을 선택합니다.
선택 목록이 표시됩니다. 기본값은 임의입니다.
- 이 MID Server가 통합에 Splunk Enterprise Event Ingestion 대해 구성된 경우에만 모두를 선택하십시오.
- 선택 목록에서 이 특정 통합을 위해 인스턴스에 구성한 MID Server를 선택합니다 Now Platform® .
다음 그림은 MID Server를 사용하는 온프레미스 버전의 구성에 대한 완성된 양식의 Splunk Enterprise 예입니다.
콘솔에서 수집하는 각 Splunk Enterprise 경보에는 인스턴스에 고유한 이벤트 프로필이 있어야 합니다Now Platform®.Splunk Enterprise 그러나 이벤트 수집 구성 양식에서 구성하는 소스는 각 프로필이 고유한 Splunk 트리거된 경보를 수집하는 한 여러 Now Platform® 프로필에 다시 사용할 수 있습니다.
- 확인란을 선택합니다.
-
제출을 클릭합니다.
유효성 검사가 성공적으로 완료되면 각 구성과 함께 보안 통합 페이지가 표시됩니다. 유효한 각 구성 타일에 다음 그림과 같이 구성 및 삭제 단추가 표시됩니다.주:기본 인증 또는 토큰 기반 인증만 사용해야 합니다. 인증 중 하나를 활성화하고 해당 인증 세부 정보를 입력합니다. 둘 다 활성화하면 오류가 표시됩니다.
성공적으로 검증되고 제출되면 각 이벤트 수집 Splunk 서버 구성이 보안 통합 페이지에 타일로 저장됩니다. 저장된 구성 타일이 보안 통합 페이지에 표시되지 않으면 페이지 오른쪽 위에 있는 구성 선택 표시 목록에서 예를 클릭합니다.
제출을 클릭한 후 오류 메시지가 표시되면 정보를 다시 입력하고 제출을 클릭합니다.
다음에 수행할 작업
애플리케이션을 성공적으로 설치하고 구성했습니다. 다음 단계는 이벤트 프로필을 만드는 것입니다.