주목할 만한 이벤트 예약 및 검색

릴리스 버전: Australia

업데이트 날짜 2026년 03월 12일

소요 시간: 4분

자동화된 주목할 만한 이벤트 수집 프로파일의 경우 이벤트 프로파일 구성에 이 단계가 필요합니다. 이 단계에서는 주목할 만한 이벤트 검색에 대한 기본 설정을 확인하거나 필요에 따라 일정을 수정할 수 있습니다. 또한 이 단계를 통해 날짜 범위를 사용하여 과거의 주목할 만한 이벤트를 검색할 수 있습니다.

시작하기 전에

필요한 역할: sn_si.ingestion_profile_admin

주:

sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

이 태스크 정보

자동화된 주목할 만한 이벤트 수집을 위한 프로필의 경우 스케줄링 단계에서 과거의 주목할 만한 이벤트를 수집할지 여부를 선택합니다. 또한 경보 프로파일 구성과 일치하는 향후 새로운 주목할 만한 이벤트와 업데이트된 주목할 만한 이벤트에 대해 폴링할 빈도도 선택합니다.

자동화된 주목할 만한 이벤트 수집 프로파일의 경우 프로파일을 활성화하기 전에 일정 및 경보 검색을 검증하고 수정합니다. 예약된 경보 프로파일에 대한 모든 이벤트 프로파일 구성 프로세스에 필요한 단계입니다.

프로파일별로 이러한 폴링 간격을 구성합니다. 이벤트 수집 통합의 Splunk 성능은 다른 폴링 간격의 영향을 받을 수 있습니다. 일정을 잡을 때 서버의 폴링 오버헤드를 Splunk Enterprise Security 줄이는 것과 주목할 만한 이벤트가 생성되거나 업데이트될 때 가능한 한 빨리 알림을 받고자 하는 욕구 사이에서 균형을 맞추는 것이 좋습니다. 모든 프로파일에 대해 5분의 기본값이 설정되지만 필요한 경우 이 설정을 1분으로 짧게 수정할 수 있습니다.

신규 및 업데이트된 주목할 만한 이벤트 끌어오기

폴링 일정이 설정되면 예약된 작업은 이전에 끌어왔지만 인시던트 필터링 기준을 충족하지 않는 주목할 만한 새 이벤트와 업데이트된 주목할 만한 이벤트를 모두 가져옵니다. 이를 통해 주목할 만한 이벤트가 처음 생성될 때는 존재하지 않을 수 있지만 업데이트가 발생한 후(예: 조사 단계 중) 사용할 수 있게 되는 기준에 따라 인시던트를 유연하게 생성할 수 있습니다. 주목할 만한 특정 이벤트에 대한 인시던트가 생성되면 해당 주목할 만한 이벤트가 현재 활성 ServiceNow® 보안 인시던트로 처리될 것으로 예상되므로 후속 업데이트는 무시됩니다. 그러나 이전에 수집되었지만 인시던트 생성 기준을 충족하지 못한 다른 모든 주목할 만한 항목은 활성 인시던트의 일부가 될 때까지 계속해서 끌어와서 인시던트 생성 기준과 비교 검사됩니다.

프로시저

진행률 표시줄에 예약 페이지가 표시되지 않으면 예약을 선택합니다.

콘솔에서 Splunk Enterprise Security 주목할 만한 이벤트를 가져오는 방법과 시기를 예약하려면 하나를 선택합니다.

옵션	설명
진행 중인 이벤트 수집 필드 선택됨 일회성 검색 필드 지워짐	진행 중 이벤트 기본 설정에 따라 인스턴스는 ServiceNow AI Platform 5분마다 서버에서 새 이벤트와 업데이트된 주목할 만한 이벤트를 가져옵니다 Splunk Enterprise Security . 주목할 만한 이벤트가 발견되고 인시던트 생성 필터링 기준이 일치하면 보안 인시던트가 만들어집니다. 최신 데이터를 얻으려는 수집 폴링 오버헤드 욕구의 균형을 맞추려면 5분이 기본 설정입니다. 그러나 필요한 경우 이 값을 1분 정도로 낮게 수정할 수 있습니다.
진행 중인 주목할 만한 이벤트 필드 지워짐 일회성 검색 필드 선택됨	일회성 검색 역사의 주목할 만한 이벤트를 수집하기 위해 일회성 끌어오기를 원하는 경우 이 구성을 사용합니다. 이 설정이 구성되면 프로파일이 날짜 범위를 기반으로 하는 기록 이벤트에서 주목할 만한 이벤트를 검색하는 데 한 번 사용됩니다. 날짜 이후 필드 오른쪽에서 달력 아이콘을 클릭합니다. 표시되는 달력에서 경보 끌어오기를 시작할 날짜를 선택합니다. 날짜 이후 값부터 시작하여 현재 날짜까지 주목할 만한 이벤트가 검색됩니다. 현재 날짜로부터 7일까지 뒤로 당길 수 있습니다. 이 기능은 보관상의 이유로 상당한 양의 기록 이벤트를 Splunk Enterprise Security 검색하기 위한 것이 아니라 프로파일 활성화 시 활발하게 작업 중인 최소한의 기내 이벤트를 검색하기 위한 것입니다. 주목할 만한 이벤트를 끌어온 후 이 설정은 현재 날짜부터 앞으로 진행되는 이 프로파일에 대한 더 많은 주목할 만한 이벤트를 검색하지 않습니다. 이 설정은 입력한 범위에서 발견된 모든 주목할 만한 이벤트로 보안 인시던트를 채웁니다.

옵션

설명

진행 중인 이벤트 수집 필드 선택됨
일회성 검색 필드 지워짐

진행 중 이벤트

기본 설정에 따라 인스턴스는 ServiceNow AI Platform 5분마다 서버에서 새 이벤트와 업데이트된 주목할 만한 이벤트를 가져옵니다 Splunk Enterprise Security . 주목할 만한 이벤트가 발견되고 인시던트 생성 필터링 기준이 일치하면 보안 인시던트가 만들어집니다. 최신 데이터를 얻으려는 수집 폴링 오버헤드 욕구의 균형을 맞추려면 5분이 기본 설정입니다. 그러나 필요한 경우 이 값을 1분 정도로 낮게 수정할 수 있습니다.

진행 중인 주목할 만한 이벤트 필드 지워짐
일회성 검색 필드 선택됨

일회성 검색

역사의 주목할 만한 이벤트를 수집하기 위해 일회성 끌어오기를 원하는 경우 이 구성을 사용합니다.

이 설정이 구성되면 프로파일이 날짜 범위를 기반으로 하는 기록 이벤트에서 주목할 만한 이벤트를 검색하는 데 한 번 사용됩니다. 날짜 이후 필드 오른쪽에서 달력 아이콘을 클릭합니다. 표시되는 달력에서 경보 끌어오기를 시작할 날짜를 선택합니다. 날짜 이후 값부터 시작하여 현재 날짜까지 주목할 만한 이벤트가 검색됩니다. 현재 날짜로부터 7일까지 뒤로 당길 수 있습니다. 이 기능은 보관상의 이유로 상당한 양의 기록 이벤트를 Splunk Enterprise Security 검색하기 위한 것이 아니라 프로파일 활성화 시 활발하게 작업 중인 최소한의 기내 이벤트를 검색하기 위한 것입니다.

주목할 만한 이벤트를 끌어온 후 이 설정은 현재 날짜부터 앞으로 진행되는 이 프로파일에 대한 더 많은 주목할 만한 이벤트를 검색하지 않습니다. 이 설정은 입력한 범위에서 발견된 모든 주목할 만한 이벤트로 보안 인시던트를 채웁니다.

주목할 만한 초기 이벤트 수집 시간을 예약하는 예로, 현지 시간으로 하루에 한 번 오전 4시에 실행되는 일일 Splunk 보안 검사가 있는 경우, 현지 시간으로 오전 4시 5분에 실행되도록 인스턴스에서 ServiceNow AI Platform 해당 주목할 만한 이벤트 프로파일을 설정하여 보안 장애 이벤트를 즉시 캡처하고 보안 인시던트를 생성할 수 있습니다. 초기 이벤트 수집 필드에 04 05 00 을 입력합니다. 증분(분) 필드에 1440 (24시간)을 입력하여 초기 이벤트 수집으로부터 24시간 동안 다음 이벤트 수집을 예약합니다. 초기 이벤트 수집 시간과 다음 이벤트 수집 시간이 모두 필드에 표시됩니다.

이 예시의 설정을 구성하려면 다음 단계를 수행합니다.
1. 예약 페이지가 표시되면 진행 중인 이벤트 수집 확인란을 선택하여 이 옵션을 활성화합니다.
2. 증분(분) 필드에 1440 (24시간)을 입력합니다.
3. 초기 이벤트 수집 및 다음 이벤트 수집 필드를 편집할 수 있도록 하려면 초기 이벤트 수집 선택 확인란을 클릭합니다.
4. 초기 이벤트 수집 필드에 04 05 00을 입력합니다.
  다음 이벤트 수집(예상) 필드에 다음 이벤트 수집 시간이 표시됩니다.

프로파일 구성을 계속하려면 다음 중 하나를 클릭합니다.

옵션	설명
계속	추가 옵션 양식이 표시됩니다. 추가 옵션이 진행률 표시줄에서 선택됩니다. 다음 단계는 SIR 인시던트가 생성 및/또는 종결될 때 주목할 만한 이벤트를 업데이트하는 것입니다.
업데이트	데이터가 저장되고 Splunk 이벤트 보안 프로파일 목록이 표시됩니다.
이전	예약 양식이 표시됩니다.
삭제	이 이벤트 프로파일을 삭제하면 이벤트 프로파일 목록이 Splunk Enterprise Security 표시됩니다.