이벤트 수집 통합 추가 기능 설정 ServiceNow

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 4분

    • 엔터프라이즈 콘솔 또는 Splunk Cloud 인스턴스에 Splunk 이벤트 수집 통합 추가 기능을 설치하고 설정합니다ServiceNow.

    시작하기 전에

    중요사항:

    수동 이벤트 전달 프로필을 생성하여 Splunk 콘솔에서 요청 시 경보를 전달하여 인스턴스에 ServiceNow 보안 인시던트 응답(SIR)을 생성합니다. 자세한 내용은 Splunk V2에 대해 동일한 내용을 참조 이벤트 프로파일 생성 및 이름 지정 하고 구현합니다.

    이 추가 기능 설정은 Splunk 프로파일에 대한 수동 이벤트 전달을 활성화하는 데 필요합니다. 특정 추가 기능에 대해 최대 2개의 구성을 생성할 수 있습니다. (Splunk 기본Splunk 보조)

    수동 이벤트 수집에 필요한 Splunkbase의 추가 기능 플러그인을 설치하기 전에 이 ServiceNow Store 통합을 위한 애플리케이션을 설치했는지 확인하십시오. 에서 통합 ServiceNow Store을 위한 애플리케이션을 설치하지 않은 경우 을 참조 통합을 위한 Splunk Enterprise Event Ingestion 애플리케이션 설치 및 구성 ServiceNow 하고 지침에 따라 설치하십시오.

    필요한 역할: ServiceNow AI Platform 관리자(admin)

    이 태스크 정보

    통합을 위해 Splunk 콘솔에서 요청 시 수동으로 이벤트를 익스포트하려면 Splunk 콘솔의 Splunkbase에서 이벤트 수집 통합 추가 기능을 다운로드하고 설정합니다 ServiceNow .

    ServiceNow 인스턴스에서 ServiceNow AI Platform 수동으로 익스포트한 이벤트에서 보안 인시던트를 만들 수 있도록 이 확장 추가 기능이 필요합니다. 이 ServiceNow 이벤트 수집 통합 추가 기능은 splunkbase에서 사용할 수 있습니다.

    수동 이벤트 전달의 경우 콘솔에서 서로 다른 ServiceNow AI Platform 엔드포인트(인스턴스)를 최대 2개까지 식별할 수 있습니다 Splunk Enterprise . 이벤트를 엔드포인트에 수동으로 전달하여 보안 인시던트를 생성합니다. 예를 들어 스테이징(개발) 인스턴스와 프로덕션 인스턴스를 모두 지정할 수 있습니다. 별도의 인스턴스를 지정하고 각 인스턴스의 기본 및 보조 워크플로우의 이름을 지정하여 서로 다른 이벤트를 전달할 위치를 선택할 수 있습니다.

    프로시저

    1. ServiceNow 이벤트 수집 통합 추가 기능을 아직 설치하지 않은 경우 다음 단계에 따라 설치하고 구성합니다.
      1. Splunkbase에서 ServiceNow 이벤트 수집 통합 추가 기능을 다운로드합니다.
      2. 메시지가 표시되면 을 다시 시작합니다 Splunk Enterprise.
        ServiceNow 이벤트 수집 통합 추가 기능이 엔터프라이즈 콘솔에 설치되어 Splunk Enterprise 있습니다. 다음 단계는 추가 기능을 설정하는 것입니다.
    2. 애드온을 설정하려면 다음 단계를 따르세요.
      1. 안에 Splunk Enterprise, 메뉴 드롭다운 목록에서 앱 관리 톱니바퀴 아이콘을 선택합니다.
      2. 표시되는 애플리케이션 목록의 작업 열에서 ServiceNow 이벤트 수집 통합설정을 선택합니다.
        ServiceNow 이벤트 수집 통합 추가 기능은 세 가지 탭으로 구성됩니다.
        • Splunk 기본: 기본 또는 기본 Splunk 구성입니다.
        • Splunk 보조: (선택 사항) 백업 또는 두 번째 Splunk 구성입니다.
        • 로깅 수준: 통합에 의해 생성된 보고 로그의 수준으로, 정보 유형의 이름을 의미합니다.
      3. 양식에서 필드를 채웁니다.
        필드 설명
        워크플로우 작업 레이블 인스턴스의 이름입니다.

        Splunk 콘솔의 경보에 대한 이벤트 작업 드롭다운에 있는 작업이 됩니다.
        URL 이전 워크플로우 작업 레이블 필드에 입력한 인스턴스의 ServiceNow URL입니다.
        엔드포인트 기본 API 경로입니다.

        이 필드의 기본값은 /api/sn_sec_splunk_v2/event_ingestion입니다.
        인증 유형 API 요청에 사용되는 인증 방법입니다. 사용 가능한 옵션은 다음과 같습니다.
        • 기본 인증: 사용자 이름과 암호를 사용하여 요청을 인증합니다.
        • OAuth 2.0 인증: 액세스 토큰을 사용하여 요청을 인증합니다.
        기본 인증
        사용자 이름 사용자의 사용자 이름입니다.

        수동 이벤트 전달을 위해서는 (sn_sec_splunk_v2.api_account_access) 역할이 있는 사용자가 앞의 URL 필드에 지정된 인스턴스에 있어야 합니다.
        암호 사용자의 암호입니다.

        수동 이벤트 전달을 위해서는 (sn_sec_splunk_v2.api_account_access) 역할이 있는 사용자가 앞의 URL 필드에 지정된 인스턴스에 있어야 합니다.
        OAuth 2.0 인증
        클라이언트 ID 인스턴스에서 생성된 앱의 클라이언트 ID입니다 ServiceNow .

        클라이언트 ID를 가져오는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오 ServiceNow 인스턴스에서 애플리케이션 레지스트리 구성.
        클라이언트 비밀 인스턴스에서 생성된 ServiceNow 앱의 클라이언트 비밀입니다.

        클라이언트 암호를 가져오는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오 ServiceNow 인스턴스에서 애플리케이션 레지스트리 구성.
        리디렉션 URL

        이 URL을 복사하여 애플리케이션 레지스트리 기록의 리디렉션 URL 필드에 붙여넣습니다.

        Splunk에서 설정된 ServiceNow 이벤트 수집 통합

      4. 저장을 선택합니다.
      5. Splunk 보조 탭을 선택합니다.
      6. 양식에서 필드를 채웁니다.
        필드는 Splunk 기본 탭과 동일합니다.
      7. 저장을 선택합니다.
        주:
        특정 추가 기능에 대해 최대 2개의 구성을 생성할 수 있습니다. (기본 인증 및 다른 OAuth 2.0 인증)
      8. 로깅 수준 탭을 선택합니다.
      9. 양식에서 필드를 채웁니다.
        표 1. 로깅 수준
        필드 설명
        로그 수준 통합에 의해 생성된 보고 로그의 수준으로, 정보 유형의 이름을 의미합니다. 값을 다음 옵션으로 업데이트할 수도 있습니다.
        • 정보
        • 오류
        • 경고
        • 디버그

        기본적으로 이 값은 정보입니다.
      10. 저장을 선택합니다.

    다음에 수행할 작업

    이벤트 수집 통합 추가 기능 사용 ServiceNow