엔터프라이즈 보안 설정 구성 Splunk
Splunk ES(엔터프라이즈 보안) 설정을 사용하여 사전 설정 구성과 해당 값을 요구 사항에 따라 수정합니다.
시작하기 전에
필요한 역할: sn_si.ingestion_profile_admin
주:
sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.
프로시저
- 다음으로 이동 모두 > Splunk ES Integration > Splunk ES 설정.
-
양식에서 필드를 채웁니다.
표 1. Splunk ES 설정 필드 설명 단일 인시던트로 집계할 수 있는 주목할 만한 이벤트의 수를 제한하십시오. 단일 인시던트로 집계하려는 주목할 만한 이벤트의 수에 대한 제한을 적용하는 옵션입니다. 기본적으로 이 값은 100으로 설정됩니다.
24시간 동안 만들 수 있는 보안 인시던트 수를 제한하십시오. 24시간 동안 만들 수 있는 보안 인시던트 수를 제한하는 옵션입니다. 기본적으로 이 값은 1000으로 설정됩니다.
에서 수신 Splunk한 각 필드에서 구문 분석할 값 수를 제한하십시오. 에서 받은 Splunk각 필드에 대해 구문 분석하려는 값 수를 제한하는 옵션입니다. 기본적으로 이 값은 1000으로 설정됩니다.
끌어올 상관관계 규칙의 수입니다 Splunk. 검색할 Splunk상관관계 규칙의 수를 정의하는 옵션입니다. 기본적으로 이 값은 500으로 설정됩니다.
검색 작업의 Splunk 유효 기간 매개변수(초)입니다. 검색의 Splunk 유효 기간 매개변수를 초 단위로 정의하는 옵션입니다. 기본적으로 이 값은 600으로 설정됩니다.
한 검색에서 일괄 처리할 주목할 만한 유형의 수입니다. 단일 검색에서 일괄 처리할 주목할 만한 유형의 총 수를 정의하는 옵션입니다. 기본적으로 이 값은 20으로 설정됩니다.
검색 작업 메타데이터를 Splunk 유지하는 일수 ServiceNow 에서 Splunk 검색 작업 메타데이터 ServiceNow를 유지하려는 일수를 정의하는 옵션입니다. 기본적으로 이 값은 30으로 설정됩니다.
필드 매핑에서 값을 분할하는 구분 기호 문자입니다. 필드 매핑에서 값을 분할할 구분 기호 문자를 정의하는 옵션입니다. 기본적으로 값은 (,)로 설정됩니다.
(Splunk의 인덱싱 지연을 극복하기 위해) 이벤트를 Splunk 가져오는 동안 추가할 중복 시간(분) 의 Splunk인덱싱 지연을 극복하기 위해 이벤트를 Splunk 검색하는 동안 추가할 중복 시간(분)을 정의하는 옵션입니다. 기본적으로 이 값은 30으로 설정됩니다.
업데이트된 주목할 만한 이벤트 끌어오기 업데이트된 주목할 만한 이벤트를 검색하는 옵션입니다. 업데이트된 주목할 만한 이벤트를 가져오도록 다음 시스템 속성을 구성합니다.- sn_sec_splunkes.pull_updated
- True로 설정합니다.
- 기본적으로 True
- sn_sec_splunkes.fetch_new_updated_notables
- 버전 8.0.x 이상에서는 True로 설정합니다.
- 8.0.x 이전 버전의 경우 False로 설정
기본적으로 값은 아니요로 설정됩니다.
토큰 기반 인증 지원을 위한 기존 Splunk 소스 구성을 업데이트하려면 이 설정을 활성화합니다. 이 설정을 활성화한 후에는 토큰 상세 정보로 통합 구성을 업데이트해야 합니다. 기존 Splunk 소스 구성을 기존 버전에서 토큰 기반 인증 지원으로 업데이트하는 옵션입니다. 주:새 버전으로 업그레이드하면 토큰 필드를 사용할 수 없게 됩니다. 토큰 기반 인증을 가져오려면 이 설정을 활성화해야 하며, 그 후에는 토큰 상세 정보로 통합 구성을 업데이트해야 합니다.기본적으로 값은 아니요로 설정됩니다.
수집 중에 종결된 Notable을 끌어오려면 확인란을 활성화합니다. 종결된 이벤트를 ServiceNow Splunk ES 인스턴스로 끌어오는 옵션입니다. 선택하지 않으면 활성 이벤트만 인스턴스로 끌어와집니다. 기본적으로 값은 아니요로 설정됩니다.
- sn_sec_splunkes.pull_updated
- 저장을 선택합니다.