Splunk ES용 보안 운영 이벤트 수집 추가 기능 설정 ServiceNow

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 5분

    • ServiceNow Splunk ES용 보안 운영 이벤트 수집 추가 기능을 사용하면 Splunk와 ServiceNow 보안 운영 간의 원활한 통합이 가능하여 Splunk에서 보안 인시던트로 ServiceNow 보안 관련 이벤트를 보낼 수 있습니다. 애드온 다운로드 및 설치에 대한 자세한 지침은 이 가이드에 설명된 단계를 따르세요.

    시작하기 전에

    수동 이벤트 수집에 필요한 Splunkbase의 애드온 플러그인을 설치하기 전부터 ServiceNow Store 이 통합을 위한 애플리케이션을 설치했는지 확인하십시오. 에서 통합 ServiceNow Store을 위한 애플리케이션을 설치하지 않은 경우 을 참조 통합을 위한 Splunk Enterprise Event Ingestion 애플리케이션 설치 및 구성 ServiceNow 하고 지침에 따라 설치하십시오.

    필요한 역할: ServiceNow AI Platform 관리자(admin)

    이 태스크 정보

    중요사항:

    수동 이벤트 전달 프로파일을 생성하여 콘솔에서 Splunk Enterprise Security 요청 시 이벤트를 전달하여 인스턴스에 ServiceNow SIR(보안 인시던트 응답)을 생성합니다. 자세한 내용은 이벤트 프로파일 생성 및 이름 지정 문서를 참조하십시오.

    이 추가 기능 설정은 Splunk 프로파일에 대한 수동 이벤트 전달을 활성화하는 데 필요합니다. 특정 추가 기능에 대해 최대 두 개의 구성을 생성할 수 있습니다. (Splunk 기본Splunk 보조)

    수동 이벤트 전달의 경우 콘솔에서 서로 다른 ServiceNow AI Platform 엔드포인트(인스턴스)를 최대 2개까지 식별할 수 있습니다 Splunk Enterprise . 이벤트를 엔드포인트에 수동으로 전달하여 보안 인시던트를 생성합니다. 예를 들어 스테이징(개발) 인스턴스와 프로덕션 인스턴스를 모두 지정할 수 있습니다. 별도의 인스턴스를 지정하고 각 인스턴스의 기본 및 보조 워크플로우의 이름을 지정하여 서로 다른 이벤트를 전달할 위치를 선택할 수 있습니다.

    프로시저

    1. Splunk ES용 ServiceNow 보안 운영 이벤트 수집 추가 기능을 아직 설치하지 않은 경우 다음 단계에 따라 설치하고 구성합니다.
      1. Splunkbase에서 Splunk ES용 ServiceNow 보안 운영 이벤트 수집 추가 기능을 다운로드합니다.
      2. 메시지가 표시되면 을 다시 시작합니다 Splunk Enterprise.
        Splunk ES용 ServiceNow 보안 운영 이벤트 수집 추가 기능이 엔터프라이즈 콘솔에 설치되어 Splunk Enterprise 있습니다. 다음 단계는 추가 기능을 설정하는 것입니다.
    2. 추가 기능을 설정하려면 다음 단계를 따르십시오.
      1. 안에 Splunk Enterprise, 메뉴 드롭다운 목록에서 앱 관리 톱니바퀴 아이콘을 선택합니다.
      2. 애플리케이션 목록에서 필터를 사용하여 ServiceNow 앱을 검색합니다.
      3. Splunk ES용 ServiceNow 보안 운영 이벤트 수집 추가 기능을 찾고 해당 설정 작업을 선택합니다.
        Splunk ES용 ServiceNow 보안 운영 이벤트 수집 추가 기능은 세 개의 서로 다른 탭으로 구성됩니다.
        • Splunk 기본: 기본 또는 기본 Splunk 구성입니다.
        • Splunk 보조: (선택 사항) 백업 또는 두 번째 Splunk 구성입니다.
        • 로깅 수준: 통합에 의해 생성된 보고 로그의 수준으로, 정보 유형의 이름을 의미합니다.
      4. Splunk 기본 탭을 선택합니다.
      5. 양식에서 필드를 채웁니다.
        표 1. Splunk 기본
        필드 설명
        워크플로우 작업 레이블 인스턴스의 이름입니다.

        엔터프라이즈 보안의 이벤트 작업 드롭다운에 있는 작업이 됩니다.
        URL 이전 워크플로우 작업 레이블 필드에 입력한 인스턴스의 ServiceNow URL입니다.
        엔드포인트 기본 API 경로입니다.

        이 필드의 기본값은 /api/sn_sec_splunkes/notable_event_ingestion입니다.
        인증 유형 API 요청에 사용되는 인증 방법입니다. 사용 가능한 옵션은 다음과 같습니다.
        • 기본 인증: 사용자 이름과 암호를 사용하여 요청을 인증합니다.
        • OAuth 2.0 인증: 액세스 토큰을 사용하여 요청을 인증합니다.
        기본 인증
        사용자 이름 사용자의 사용자 이름입니다.

        수동 이벤트 전달을 위해서는 (sn_sec_splunkes.api_account_access) 역할이 있는 사용자가 앞의 URL 필드에 지정된 인스턴스에 있어야 합니다.

        이 역할 할당에 대한 자세한 내용은 다음 문서를 참조하십시오 ServiceNow AI Platform 통합을 위한 Splunk Enterprise Event Ingestion 인스턴스 설정.
        암호 사용자의 암호입니다.

        수동 이벤트 전달을 위해서는 (sn_sec_splunkes.api_account_access) 역할이 있는 사용자가 앞의 URL 필드에 지정된 인스턴스에 있어야 합니다.
        비밀번호 확인 암호를 다시 입력하여 확인합니다.
        OAuth 2.0 인증
        클라이언트 ID ServiceNow 인스턴스에서 생성된 앱의 클라이언트 ID입니다.

        클라이언트 ID를 가져오는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오 ServiceNow 인스턴스에서 애플리케이션 레지스트리 구성.
        클라이언트 비밀 ServiceNow 인스턴스에서 생성된 앱의 클라이언트 비밀입니다.

        클라이언트 암호를 가져오는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오 ServiceNow 인스턴스에서 애플리케이션 레지스트리 구성.
        리디렉션 URL

        이 URL을 복사하여 애플리케이션 레지스트리 기록의 리디렉션 URL 필드에 붙여넣습니다.
      6. 저장을 선택합니다.
      7. Splunk 보조 탭을 선택합니다.
      8. 양식에서 필드를 채웁니다.
        필드는 Splunk 기본 탭과 동일합니다.
      9. 저장을 선택합니다.
        주:
        특정 추가 기능에 대해 최대 두 개의 구성을 생성할 수 있습니다. (기본 인증 및 다른 OAuth 2.0 인증)
      10. 로깅 수준 탭을 선택합니다.
      11. 양식에서 필드를 채웁니다.
        표 2. 로깅 수준
        필드 설명
        로그 수준 통합에 의해 생성된 보고 로그의 수준으로, 정보 유형의 이름을 의미합니다. 값을 다음 옵션으로 업데이트할 수도 있습니다.
        • 정보
        • 오류
        • 경고
        • 디버그

        기본적으로 이 값은 정보입니다.
      12. 저장을 선택합니다.

    다음에 수행할 작업

    Splunk ES용 보안 운영 이벤트 수집 추가 기능 사용 ServiceNow