통합 구성 및 활성화 Elasticsearch

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 2분

    • Elasticsearch 는 와 쉽게 통합되는 보안 운영분산된 RESTful 검색 및 분석 엔진입니다.

    시작하기 전에

    을 사용하려면 Elasticsearch먼저 ServiceNow Store에서 다운로드해야 합니다.

    필요한 역할: sn_sec_tisc.admin

    중요사항:
    • 통합을 사용하려면 플러그인을 위협 인텔리전스 보안 센터 설치하고 활성화해야 합니다.Elasticsearch
    • 프로파일에서 ElasticsearchElasticsearch API 기준 URL, Kibana 기준 URL, 사용자 이름 및 암호를 가져옵니다.

    프로시저

    1. 인스턴스를 사용하여 위협 인텔리전스 보안 센터에 액세스합니다.
    2. ServiceNow Store에서 통합을 다운로드합니다. .
    3. 설치가 완료되면 작업 공간 > 위협 인텔리전스 보안 센터.
    4. 선택 통합 > 보강 통합 > 모든 통합.
    5. 또는 다음으로 이동할 수 있습니다. 통합 > 보강 통합 > 모든 통합 > 검색 찾기
      주:
      구성된 통합은 일련의 카드로 나타납니다.
    6. Elasticsearch 카드에서 새 보강 구성을 선택하여 Elasticsearch 통합을 구성합니다.
    7. 새 보강 구성 양식의 필드에 내용을 입력합니다.
      표 1. 보강 통합
      필드 설명
      이름 사이팅 검색 구성의 이름을 입력합니다.
      벤더 이름 벤더의 이름입니다. 선택한 벤더의 상세 정보가 기본적으로 채워집니다. 예를 들면 Elasticsearch입니다.
      통합 유형 선택한 통합의 유형입니다. 예를 들어 위협 조회입니다.
      설명 통합에 대한 설명을 입력합니다.Elasticsearch 예를 들어 Elasticsearch 보강 통합은 Elasticsearch 배포에서 로그 쿼리를 지원함으로써 옵저버블을 조사하는 데 도움이 됩니다.
      통합 구성
      Elasticsearch API 기준 URL 사이트에서 가져온 기본 URL입니다 Elasticsearch .
      Kibana 기본 URL Kibana 기본 URL입니다. [선택 사항] 사용 가능한 경우 Kibana 인스턴스에 대한 링크입니다.
      사용자 이름 인텔 Elasticsearch 사용자 이름입니다.
      암호 인텔 Elasticsearch 암호입니다.
      Elasticsearch 색인 인덱스입니다 Elasticsearch . 여기에는 각 인덱스에 고유한 문서가 보관됩니다. 인덱스는 수행된 작업(예: 검색 및 삭제)을 참조하는 소문자 이름으로 식별됩니다.
      날짜 범위 필드 구성의 타임스탬프입니다.
      최대 행 수 검색하려는 최대 행 수입니다.
      가장 빠른 결과(일) 일수 단위로 보려는 가장 빠른 결과입니다.
      검색 결과에 원시 데이터 샘플 포함 사이팅 검색 결과에 원시 데이터 샘플을 포함하려면 이를 선택합니다. 반환되는 데이터의 양은 보안 인시던트 응답 속성의 원시 데이터 속성 행 수에 대한 설정에 따라 다릅니다.
      MID 서버 활성 MID 서버를 사용하려면 임의를 선택하거나 특정 MID 서버 이름을 선택합니다.
      주:
      이 통합을 구성하면 워크플로우가 활성화됩니다. 워크플로우를 관리하려면 워크플로우 편집기로 이동합니다.
    8. 저장을 선택합니다.
      통합 상세 정보가 확인되고 기본적으로 통합 상태가 Elasticsearch 꺼져 있습니다.
    9. 통합을 사용하려면 사용을 선택합니다.Elasticsearch

    결과

    구성된 Elasticsearch 후에는 다음의 위협 인텔리전스 보안 센터옵저버블에 대해 사이팅 검색을 수행하도록 선택할 수 있습니다.