TISCSplunk에서 추가 기능 구성

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 7분

    • 계정을 연결하고, 데이터 입력을 정의하고, 검색 및 분석을 위해 옵저버블 기록을 KV 저장소로 끌어오도록 추가 Splunk 기능을 구성 TISC 합니다.

    시작하기 전에

    필요한 역할: Splunk 관리자

    이 태스크 정보

    TISC 이 추가 기능은 계정을 KV 스토어에 Splunk 연결 ServiceNow 하고 옵저버블 기록을 KV 스토어로 가져옵니다.

    프로시저

    1. 왼쪽 탐색 메뉴에서 Splunk용 위협 인텔리전스 보안 센터 앱을 검색합니다.
    2. 작업 열에서 설정을 선택합니다.
      구성 페이지가 표시되고 계정을 설정할 수 있습니다ServiceNow TISC.
    3. 추가를 선택합니다.
    4. 양식에서 필드를 채웁니다.
      필드 설명
      계정 추가
      이름 계정의 고유 이름입니다.
      사용자 이름 계정 사용자 이름입니다 ServiceNow . 이전 단계에서 역할을 생성하는 동안 생성한 동일한 사용자 이름 [sn_sec_tisc.api_obs_read_access]을 사용할 수 있습니다.
      암호 계정 암호입니다 ServiceNow .
      인스턴스 URL 인스턴스 URL입니다 ServiceNow .
    5. 추가를 선택합니다.
      ServiceNow 인스턴스 계정이 에 Splunk추가됩니다.
    6. 입력 페이지로 이동하여 계정에 대한 데이터 입력을 관리합니다ServiceNow.
    7. 입력 생성을 선택합니다.
      계정에 입력을 ServiceNow 추가할 수 있는 입력 추가 대화 상자가 표시됩니다. 입력 세트가 정의되면 애플리케이션은 기준을 충족하는 특정 수의 옵저버블을 검색하기 위해 정보를 인스턴스로 TISC 보냅니다.
    8. 입력 상세 정보를 적절하게 입력합니다.
      필드 설명
      이름 입력의 고유한 이름입니다. 예를 들어 악성 IP 목록입니다.
      계정 계정 사용자 이름입니다 ServiceNow . 이전 단계에서 sn_sec_tisc api_obs_read_access 역할로 만든 동일한 사용자 이름을 사용할 수 있습니다.
      간격 에서 데이터를 TISC검색할 시간 간격(초)을 설정합니다.
      만료 기간(일) 만료 기간을 일 단위로 설정하는 옵션입니다.
      주:
      샘플 만료는 30일로 설정됩니다. 예를 들어 특정 날짜에 데이터를 끌어오면 10,000개의 기록 세트를 검색할 수 있습니다. 이러한 기록은 KV(키-값) 저장소 Splunk에 저장됩니다. 수집된 날짜부터 기록은 30일 동안 보존됩니다. 31일째가 되면 KV 저장소에서 자동으로 삭제됩니다.
      만료되지 않음 수집된 기록을 만료시키지 않으려면 이 옵션을 선택합니다.
      추가 속성 KV 스토어에 포함할 권장 옵션 목록의 추가 속성입니다. 속성은 쉼표로 구분해야 합니다.

      허용되는 속성 목록은 필수 속성 테이블 다음 테이블에 제공됩니다.
      필터 임포트 및 필터링할 데이터를 결정하는 조건입니다.

      필터 조건을 설정하기 위해 위협 점수, 신뢰도 및 유형과 같은 필드를 기반으로 기준을 정의할 수 있습니다.

      간단한 조건의 경우 이 필터링 옵션을 사용합니다. 복잡한 조건의 경우 JSON 필터를 추가합니다.
      • 허용되는 정수 연산자는 다음과 같습니다.

        "=", "!=", ">", "<", ">=", "<="

      • 허용되는 문자열 연산자는 다음과 같습니다.

        "=", "!=", "안에"

      단순 필터의 예:

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON 보다 복잡한 조건을 정의하기 위한 JSON 기반 필터입니다.
      샘플 고급 필터:
      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      주:
      계정은 기본적으로 활성화되어 있지만 입력은 기본적으로 비활성 상태입니다. 입력을 활성화하여 데이터 임포트를 시작합니다. 가능한 필터는 TISC(위협 인텔리전스 보안 센터) 애플리케이션에 옵저버블 소스 기록 추가 의 Observable_filters 섹션을 참조하십시오.
    9. 추가를 선택하여 입력을 저장합니다.
    10. 클론을 선택하여 기존 계정을 기반으로 계정을 복사하고 생성합니다.
      동일한 기준을 사용하여 데이터를 임포트할 때 중복 항목이 생성되지 않도록 복사하기 전에 입력을 비활성화하십시오.
    11. 에서 가져온 기록과 함께 KV 저장소 Splunk 에 검색되고 저장된 정보를 검토합니다 TISC.
      필드 설명
      신뢰도 위협 점수의 정확도와 연결된 신뢰도 수준을 나타냅니다.
      [kvlookup_created_time] 키 값 저장소의 기록 생성 시간을 나타냅니다.
      [kvlookup_days_till_expiry] KV 저장소에서 기록이 삭제되기 전까지의 일 수를 나타냅니다.
      instance_url 인스턴스 URL을 ServiceNow 나타냅니다.
      평판 관련된 엔터티의 평판을 나타냅니다.
      source_reported_score 에서 TISC보고된 소스 점수입니다.
      sys_id TISC기록 시스템 ID입니다.
      threat_level 위협의 심각도 수준을 나타냅니다.
      threat_score 기록과 연결된 위협 수준을 나타내는 점수입니다.
      threat_severity 옵저버블의 위협 심각도를 나타냅니다.
      유형 옵저버블 유형을 나타냅니다.
      updated_by 기록을 마지막으로 업데이트한 사용자입니다.
      kvlookup_updated_time 키 값 저장소에서 기록이 마지막으로 업데이트된 타임스탬프를 나타냅니다.
      기록의 값입니다. 예를 들어 IP 주소, 해시 및 유사한 값을 사용할 수 있습니다.
      표 1. 추가 속성
      필드 설명
      additional_context 옵저버블에 대한 추가 컨텍스트입니다.
      attack_phases LM, MITRE ATT&CK와 같은 킬 체인의 공격 단계를 나타냅니다.
      저자 작성자의 이름입니다.
      댓글 옵저버블에 대한 추가 코멘트입니다.
      created 옵저버블이 생성된 시기를 나타냅니다.
      설명 옵저버블에 대한 설명입니다.
      expiration_time 옵저버블 기록의 만료 시간을 지정합니다.
      확장명 옵저버블의 확장을 나타냅니다.
      first_observed 데이터를 처음으로 관찰한 시간입니다.
      first_seen 이 기록이 악의적인 활동을 수행하는 것이 처음 목격된 경우입니다.
      historically_significant 옵저버블이 역사적으로 중요한 것으로 간주되는지 여부를 나타냅니다. 이 TISC 시스템 플래그는 보관에서 옵저버블을 제외하는 데 사용됩니다.
      ID 시스템에서 옵저버블에 할당한 고유 식별자입니다 TISC .
      is_defanged 옵저버블 값이 제거되었는지 여부를 나타내는 플래그입니다.
      is_false_positive 옵저버블이 긍정 오류로 식별되는지 여부를 나타내는 부울 플래그입니다.
      언어 이 객체의 텍스트 내용 언어를 나타냅니다.
      last_observed 데이터를 마지막으로 관찰한 시간입니다.
      last_seen 이 객체가 악의적인 활동을 수행하는 것이 마지막으로 목격된 시간입니다.
      메모 옵저버블 기록에 대한 추가 메모입니다.
      번호 이 옵 TISC저버블에 할당된 시스템 생성 번호입니다.
      security_type 옵저버블이 허용 목록 또는 거부 목록에 속하는지 여부를 지정합니다.
      no_of_sources 옵저버블에 기여한 고유 소스의 개수를 나타냅니다.
      sources 이 기록이 생성되는 위협 소스를 지정합니다.
      상태 옵저버블의 상태로, 활성 또는 비활성입니다.
      tisc_tags TISC 옵저버블과 연결된 태그입니다.
      분류 옵저버블과 연결된 분류입니다.
      TLP TLP별 데이터 민감도 설정을 나타내는 고유 값입니다.
      업데이트됨 옵저버블 기록이 마지막으로 업데이트된 시기를 나타냄
      usage_categories 옵저버블이 속하는 범주(예: 봇넷 또는 피싱)입니다.
      watch_list 옵저버블이 감시 목록에 포함되는지 여부를 지정하는 플래그입니다.

      이러한 필드는 기준에 정의된 다른 필드와 함께 검색 탭에서 Splunk 사용할 수 있으며 검색 탭을 통해 보고, 검색하고, 분석할 수 있습니다.