이벤트 프로파일 생성 및 이름 지정

릴리스 버전: Australia

업데이트 날짜 2026년 03월 12일

소요 시간: 8분

인스턴스에 ServiceNow AI Platform 이벤트 프로파일을 생성하고 보안 인시던트를 생성하는 경보를 Splunk 결정합니다.

시작하기 전에

필요한 역할: sn_si.ingestion_profile_admin

주:

sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

이 태스크 정보

수집된 경보에서 (SIR)보안 인시던트가 생성되기 전 ServiceNow AI Platform 보안 인시던트 응답 에는 실제 보안 인시던트가 표시되는 방식을 미리 볼 수 있도록 경보의 필드 값이 보안 인시던트의 레이아웃 ServiceNow AI Platform 에 표시됩니다.

사용 가능한 API Splunk 를 사용하는 통합 관점에서 이벤트는 개별 이벤트로 개별적으로 수동으로 전달되거나 트리거된 경보로 결합되어 인스턴스 환경에 ServiceNow AI Platform 자동으로 수집됩니다.보안 운영 예를 들어, 통합 워크플로우는 무단 액세스 시도 및 맬웨어와 같은 다양한 유형의 경보를 수집합니다.

이러한 경보는 인스턴스 환경에서 구성하는 프로파일에 따라 수집됩니다.보안 운영 모든 경보는 처음에 프로파일에서 구성된 경보 유형에 대해 수집됩니다. 그런 다음 수집된 경보를 추가로 필터링하여 보안 인시던트를 생성하는 경보를 지정할 수 있습니다. 예를 들어 위험도가 높은 것으로 식별된 경보에 대해서만 보안 인시던트를 생성하는 필터를 선호할 수 있습니다. 프로파일이 활성화되어 수집된 경보에서 보안 인시던트를 생성하기 전에 필터링된 경보의 개별 필드 값이 미리 보기 위해 보안 인시던트 레이아웃의 해당 필드에 매핑됩니다.

인스턴스의 이벤트 프로파일 ServiceNow AI Platform 에 대한 경보 이름은 고유해야 하며 특정 시점에 하나의 활성 이벤트 프로파일에만 매핑될 수 있습니다. 통합 설정의 일부로 서비스에서 Splunk 구성한 트리거된 경보 이름입니다. 사용자 Splunk Enterprise 환경에서 경보를 구성하는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오 통합에 대한 Splunk Enterprise Event Ingestion 콘솔 검색 Splunk Enterprise 저장.

ServiceNow AI Platform 통합의 워크플로우를 사용하여 특정 경보를 수집합니다. 엔터프라이즈 콘솔의 Splunk 선택 기준을 충족하는 모든 경보는 처음에 인스턴스에 ServiceNow AI Platform 수집됩니다.

의 ServiceNow AI Platform 프로파일은 엔터프라이즈 콘솔에 있는 경보를 Splunk 캡슐화한 Splunk 것입니다. 프로파일과 엔터프라이즈 콘솔 연결 Splunk 로 수집되는 경보 간에는 일대일 관계가 있습니다. 하나의 연결에 대해 하나의 경보가 생성됩니다. 콘솔의 Splunk Enterprise 검색 헤드에 대한 단일 https 연결이 있습니다. 단일 검색 헤드에서 여러 경보가 발생할 수 있습니다. 콘솔에서 Splunk Enterprise 여러 검색 헤드에 연결하는 경우 이러한 경보를 수집하려면 인스턴스에 ServiceNow AI Platform 여러 프로필을 만들어야 합니다.

예약된 경보 수집을 위한 프로파일을 생성하는 단계

프로시저

경보 ServiceNow AI Platform 에 대한 이벤트 프로파일을 생성하려면 인스턴스에서 Splunk ES 통합 > Splunk ES 이벤트 프로파일.
이벤트 프로파일 양식이 Splunk 표시되지 않으면 진행률 표시줄에서 이름을 클릭합니다.
새로 만들기를 클릭합니다.

필드에 내용을 입력합니다.

표 뒤에 작성된 양식의 예가 나와 있습니다.


필드	설명
이름	프로파일의 고유한 이름입니다. 이름이 고유하지 않으면 중복된 프로파일 이름이 저장되지 않습니다. 인스턴스의 ServiceNow AI Platform 프로파일 이름은 고유해야 합니다.
활성	확인란은 기본적으로 선택되어 있지 않습니다. 활성 옵션이 비활성화되어 있으며 모든 프로파일 구성 단계를 완료하고 마침을 클릭할 때까지 선택할 수 없습니다.
유형	선택 목록에서 프로파일 유형을 선택합니다. 예약된 경보 수집 - 이 유형의 프로파일은 사용자가 구성한 일정에 따라 수집되는 트리거된 경보를 지원합니다. 필드에 내용을 입력하고 계속을 클릭하여 프로파일의 경보 선택 단계로 진행합니다. 수동 이벤트 전달 - 이 유형의 프로파일은 요청 시 콘솔에서 Splunk Enterprise 수동으로 전달되는 개별 이벤트를 지원합니다. 이러한 유형의 프로파일에 대한 양식을 작성하려면 다음 단계를 참조하십시오.
소스 유형	Splunk 경보를 수집하도록 구성한 서버 또는 검색 끝입니다. 여러 서버가 구성된 경우 Splunk 프로파일에 대해 수집하려고 하는 경보 유형에 적합한 서버를 선택합니다. 값을 입력해야 합니다.
순서	기본값은 100입니다. 이 설정을 기본값으로 둡니다. 프로파일을 여러 개 생성한 경우 이 값은 둘 이상의 프로파일이 동일한 트리거 조건을 공유할 때 실행 시간 실행 우선순위를 제공합니다. 숫자가 가장 낮은 프로파일의 워크플로우가 가장 높은 우선순위를 갖습니다.
(선택 사항) 설명	이 프로파일을 다른 프로파일과 구분하는 데 도움이 되는 텍스트입니다.

예약된 경보가 있는 프로파일의 경우 하나의 옵션을 선택하여 프로파일 구성을 계속합니다.

옵션	설명
계속	프로파일을 저장하고 경보 선택 단계를 진행합니다.
업데이트	이 프로파일에 대한 업데이트를 저장하고 이벤트 프로파일 목록으로 Splunk 돌아갑니다.
저장	이 프로파일을 저장하고 페이지에 남아 있습니다.
삭제	이 프로파일 기록을 삭제하고 이벤트 프로파일 목록으로 Splunk 돌아갑니다.

수동 이벤트 전달을 위한 프로파일을 생성하는 단계

수동 이벤트 전달을 지원하는 프로필을 만들려면 다음 단계를 수행합니다.

엔터프라이즈 콘솔에서 Splunk 요청 시 전달하는 이벤트의 경우 개별 필드 매핑을 기존 프로파일에 기반으로 할 수 있습니다. 또는 익스포트한 첨부 파일 데이터에 대한 새 매핑 그리드를 생성할 수 있습니다. 수동으로 전달하는 이벤트는 이벤트 프로파일에 예약되지 않습니다.

아직 선택하지 않은 경우 유형 필드의 선택 목록에서 수동 이벤트 전달을 선택합니다.

표시되는 매핑 옵션 필드의 선택 목록에서 매핑 옵션 하나를 선택하여 계속합니다.

매핑 옵션 선택 목록에서 사용 가능한 매핑 옵션에 대한 자세한 내용은 다음 그림과 테이블을 참조하십시오.

매핑 옵션 필드가 강조 표시되었습니다. — 그림 1. 새 필드 매핑 옵션 생성

표 1. 새 필드 매핑 옵션 생성
옵션 또는 필드	설명
새 필드 매핑 옵션 생성	이벤트에 대한 새 필드 매핑입니다. 생성 중인 프로파일과 유사한 기존 필드 매핑이 없는 경우 이 옵션을 선택하여 새 맵을 생성합니다.
기본 프로파일	모든 Splunk 이벤트에 대한 기본 이벤트 전달 프로파일입니다. 기본값은 지워집니다(사용 안 함). 이 옵션을 사용하면 이 프로파일이 수동 이벤트 전달을 위한 기본 프로파일이 됩니다. 이 프로파일은 활성 상태이며 보안 인시던트에 대한 모든 Splunk 이벤트 필드 매핑에 사용되는 유일한 프로파일입니다 SIR . 하나의 프로파일이 전달된 모든 이벤트에 적합합니다. 기본 프로파일 옵션이 활성화된 경우 소스 필드를 사용할 수 없습니다.
소스 유형	Splunk 서버. 기본 프로파일 옵션이 활성화된 경우 이 필드를 사용할 수 없습니다. 사용 가능한 경우 소스 유형 옵션을 사용하면 소스 유형에 따라 고유한 이벤트 필드를 보안 인시던트 필드에 Splunk 매핑할 수 있습니다. 방화벽 로그 이벤트를 엔드포인트 탐지 이벤트와 다르게 관리하고 소스 유형이 다른 Splunk 경우 소스 유형에 따라 다른 이벤트 프로파일을 생성하여 이 요구 사항을 달성할 수 있습니다.
순서	기본값은 100입니다. 이 설정을 기본값으로 둡니다. 많은 수의 프로필을 만든 경우 이 값은 둘 이상의 프로필이 트리거 조건을 공유할 때 실행 시간 실행 우선순위를 제공합니다. 숫자가 가장 낮은 프로파일의 워크플로우가 가장 높은 우선순위를 갖습니다.
(선택 사항) 설명	이 프로파일을 다른 프로파일과 구분하는 데 도움이 되는 텍스트입니다.

새 필드 매핑이 있는 프로파일의 경우 소스 유형 필드에 값을 입력했는지 확인하고 계속을 클릭하여 구성의 매핑 단계로 진행합니다.

기존 필드 매핑이 있는 프로파일의 경우 다음 그림과 표를 참조하십시오.

기존 매핑 옵션을 복사합니다. — 그림 2. 필드 매핑 옵션에 대한 기존 프로파일 선택

표 2. 필드 매핑 옵션에 대한 기존 프로파일 선택
옵션 또는 필드	설명
필드 매핑을 위한 기존 프로파일 선택	이벤트에 대한 기존 필드 매핑입니다. 프로파일에서 복사 필드가 표시됩니다. 다음 단계에 따라 이 프로파일에 대한 기존 필드 매핑을 복사합니다. 표시되는 프로파일에서 복사 필드 왼쪽에서 검색 아이콘을 클릭합니다. Splunk 표시되는 이벤트 프로파일 목록에서 복사할 맵이 있는 프로파일 이름을 클릭합니다. 프로파일 이름이 프로파일에서 복사 필드에 표시됩니다.
기본 프로파일	모든 Splunk 이벤트에 대한 기본 이벤트 전달 프로파일입니다. 기본값은 지워집니다(사용 안 함). 이 옵션을 사용하면 이 프로파일이 수동 이벤트 전달을 위한 기본 프로파일이 됩니다. 이 프로파일은 활성 상태인 유일한 프로파일입니다. 보안 인시던트에 대한 SIR 모든 Splunk 이벤트 필드 매핑에 사용됩니다. 하나의 프로파일이 전달된 모든 이벤트에 적합합니다. 기본 프로파일 옵션이 활성화된 경우 소스 필드를 사용할 수 없습니다.
소스 유형	Splunk 서버. 기본 프로파일 옵션을 선택하면 이 필드를 사용할 수 없습니다. 사용 가능한 경우 소스 유형 옵션을 사용하면 소스 유형에 따라 고유한 이벤트 필드를 보안 인시던트 필드에 Splunk 매핑할 수 있습니다. 방화벽 로그 이벤트를 엔드포인트 탐지 이벤트와 다르게 관리하고 소스 유형이 다른 Splunk 경우 소스 유형에 따라 다른 이벤트 프로파일을 생성하여 이 요구 사항을 달성할 수 있습니다.
순서	기본값은 100입니다. 이 설정을 기본값으로 둡니다. 여러 프로필을 만든 경우 이 값은 둘 이상의 프로필이 트리거 조건을 공유할 때 실행 시간 실행 우선순위를 제공합니다. 숫자가 가장 낮은 프로파일의 워크플로우가 가장 높은 우선순위를 갖습니다.
(선택 사항) 설명	이 프로파일을 다른 프로파일과 구분하는 데 도움이 되는 텍스트입니다.

프로파일에 대한 기존 매핑을 선택하기 위한 양식 하단에서 마침을 클릭하여 프로파일 구성을 완료합니다.

다음에 수행할 작업

예약된 경보와 수동 이벤트 전달 모두에 대한 프로파일을 생성하는 단계를 성공적으로 완료했습니다. 수동 이벤트 전달을 위한 프로파일의 경우 프로파일 구성을 완료했습니다. 다음 단계는 매핑 단계에서 첨부 파일 데이터를 로드하는 것입니다.

예약된 경보에 대한 프로필의 경우 다음 단계는 자동 수집에 대한 경보를 선택하는 것입니다.