Splunk Enterprise Security 이벤트 수집 통합

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 4분

    • Splunk Enterprise Security(SIR) 제품과 주목할 만한 이벤트 수집 통합을 보안 인시던트 응답 통해 보안 인시던트 분석가는 주목할 만한 이벤트 데이터(주목할 만한 이벤트라고 함)를 수집하고 처리할 수 있습니다.

    Splunk Enterprise Security 이벤트 수집 통합 개요

    데이터는 구성된 폴링 일정에 따라 지속적으로 수집되며 분석가가 잠재적인 사이버 위협을 식별하고 대응하는 데 사용됩니다. 수집된 보안 이벤트는 이 통합을 Splunk Enterprise Security 통해 주목할 만한 이벤트와 상관관계를 지정한 다음 자동으로 수집할 수 있습니다. 또한 인시던트 검토 콘솔 및 보고 인터페이스에서 Splunk Enterprise Security 요청 시 주목할 만한 개별 이벤트를 당사 제품 ServiceNow AI Platform 으로 보안 인시던트 응답 수동 전달하여 보안 인시던트를 만들 수 있습니다.

    이 통합으로 보안 운영 센터(SOC) 분석가는 주목할 만한 이벤트 및 관련 기여 이벤트 데이터에 대한 가시성을 얻을 수 있습니다. 이 데이터는 추가 조사 및 정정을 위해 (SIR) 보안 인시던트에 ServiceNow AI Platform 보안 인시던트 응답 통합될 수 있습니다. 에서 상관관계 검색Splunk Enterprise Security을 통해 생성된 다양한 주목할 만한 이벤트 유형을 처리하기 위해 인스턴스에 ServiceNow AI Platform 프로파일이 생성됩니다. 이러한 프로파일은 보안 인시던트에 SIR 다양한 Splunk 이벤트 필드가 표시되는 방식을 사용자 지정합니다.

    주요 기능

    이 통합에는 다음과 같은 주요 기능이 포함됩니다.

    • 여러 개의 주목할 만한 이벤트 수집 프로파일을 생성하여 피싱, 맬웨어, 무단 액세스 시도와 같은 특정 유형의 위협에 대한 SIR 보안 인시던트를 생성합니다.
    • 인시던트 검토 콘솔에서 Splunk ES 요청 시 이벤트 전달을 위해 여러 이벤트 프로파일을 생성하여 SIR 보안 인시던트를 생성합니다.
    • 주목할 만한 이벤트 필드 값을 연관된 SIR 보안 인시던트 필드에 끌어서 놓기로 매핑합니다 Splunk .
    • 이벤트 매핑 상세 정보를 확인하기 위한 주목할 만한 샘플 이벤트를 기반으로 하는 보안 인시던트 레이아웃의 미리 보기 SIR 입니다.
    • 구성 가능한 간격으로 과거의 주목할 만한 이벤트뿐만 아니라 진행 중, 신규 및 업데이트된 주목할 만한 이벤트를 수집합니다.
    • SIR 인시던트 생성 기준을 충족하지 않는 주목할 만한 이벤트(예: 우선순위가 낮은 이벤트, 아직 특정 상태를 달성하지 못한 이벤트 등)를 필터링합니다.
    • 일치하는 필드 값을 기반으로 기존 SIR 보안 인시던트에 대한 이벤트 또는 경보를 집계하여 중복 보안 인시던트를 방지합니다.
    • 양방향 인터페이스를 통해 SIR 인시던트 생성 및/또는 종결 조건에 따라 주목할 만한 이벤트를 업데이트하여 주목할 만한 이벤트 업데이트를 SIR 인시던트 상태와 ServiceNow 동기화된 상태로 유지 Splunk ES 합니다.

    지원되는 ServiceNow AI Platform 버전

    이 통합에는 com.snc.si_dep 플러그인이 필요합니다. 이 플러그인은 제품을 지원하는 데 필요한 모든 종속성을 자동으로 설치합니다.보안 인시던트 응답 다른 보안 운영 애플리케이션을 설치하고 활성화하기 전에 이 플러그인을 설치하고 활성화합니다.

    다음 보안 운영 애플리케이션을 설치하고 활성화해야 합니다.ServiceNow Store 원활한 설치를 위해 아래 나열된 순서대로 한 번에 하나의 애플리케이션을 설치한 다음 활성화하십시오.
    1. 보안 통합 프레임워크
    2. 보안 지원 공통
    3. 보안 인시던트 응답

    핵심 애플리케이션 설치 보안 운영 에 대한 자세한 내용은 해당 문서를 참조하십시오 제품 또는 애플리케이션에 대한 권리 얻기 보안 운영애플리케이션 활성화 ServiceNow Store.

    ServiceNow 애드온

    ServiceNow 보안 운영 이벤트 수집 추가 기능은 Splunk ES 인시던트 검토 콘솔에서 Splunk Enterprise Security 인스턴스로 ServiceNow AI Platform 이벤트를 수동으로 전달하려는 경우에만 필요합니다. 이 애드온은 ServiceNowsplunkbase에서 사용할 수 있습니다.

    Splunkbase의 애플리케이션용 Splunk EnterpriseServiceNow 보안 운영 이벤트 수집 애드온은 통합에서 지원하는 자동화된 경보 수집에 필요하지 않습니다.

    Splunk 지원되는 버전

    이 통합은 다음으로 테스트되었습니다.
    • Splunk Enterprise 버전 10.0.0 이하
    • Splunk Enterprise 보안 애플리케이션 버전 8.3.0 이하

    MID 서버

    이렇게 통합하려면 서버가 회사 네트워크 내에 배포될 때 Splunk 서비스에 연결 Splunk 하려면 인스턴스에 ServiceNow AI Platform® MID 서버가 설치 및 구성되어 있어야 합니다. 서비스를 사용하는 Splunk Cloud 경우에는 MID 서버가 필요하지 않습니다. MID 서버에 대한 자세한 내용은 MID 서버를 참조하십시오.

    참조

    참조 문서 식별자 문서 제목
    1

    Splunk 제품 웹 사이트

    		 Splunk Enterprise 보안 제품 웹 사이트입니다.

    검사 목록

    이러한 주제의 인쇄 가능한 검사 목록은 다음 문서를 참조하십시오 주목할 만한 이벤트 수집 통합을 위한 Splunk Enterprise Security 검사 목록. 이 목록을 사용하여 통합 작업을 진행하면서 진행 상황을 모니터링할 수 있습니다.