인스턴스에서 Now Platform® 통합을 설치, 설정 및 사용하려면 다음 역할이 필요합니다.

• 관리자 역할(admin)을 가진 Now Platform® 사용자는 에서 애플리케이션을 ServiceNow Store 설치하고 보안 인시던트 관리자(sn_si.admin) 역할을 할당합니다.
• 이 통합에 대해 이벤트를 수동으로 Splunk Enterprise 전달하려면 관리자 역할을 가진 Now Platform® 사용자가 sn_sec_splunk_v2 Now Platform®. 이 역할을 사용하면 관리자 역할을 가진 Splunk Enterprise 사용자가 이 통합에 대한 수동 이벤트 전달에 필요한 API Now Platform® 에 액세스할 수 있습니다.

  인스턴스에서 Splunk EnterpriseNow Platform® 자동으로 경보를 수집하는 경우에는 통합에 (sn_sec_splunk_v2.api_account_access) 역할이 필요하지 않습니다.

• sn_si.admin 역할을 가진 사용자는 에서 다음 작업을 감독합니다 Now Platform®.
  • 경보 및 이벤트 프로파일의 이름, 생성 및 편집
  • 경보 및 이벤트에서 값을 선택하여 보안 인시던트에 Now Platform® 매핑합니다.
  • 구성을 완료하기 전에 정확성을 위해 보안 인시던트 상세 정보를 미리 봅니다.
  • 진행 중인 경보 수집을 예약합니다.
  • 보안 인시던트 분석가(sn_si.analyst) 역할을 할당합니다.
  • sn_si.analyst 사용자는 보안 인시던트를 작업합니다.

역할 및 사용자에게 역할 할당에 대한 자세한 내용은 을 참조하십시오 Managing roles.

콘솔에 Splunk Enterprise 대한 액세스 권한이 있는 경우 이 통합에 필요한 API에 액세스할 수 있습니다. API에 필요한 다른 특수 설정은 없습니다.

서버가 회사 네트워크 내에 배포된 경우 Splunk 인스턴스에 있는 MID Server Now Platform® 가 서비스에 연결 Splunk 되어야 합니다. MID Server에 대한 자세한 내용은 MID Server를 참조하십시오

서비스를 사용하는 Splunk Cloud 경우에는 MID Server가 필요하지 않습니다.

의존성 플러그인(com.snc.si_dep)이 보안 인시던트 응답 필요합니다. 이 플러그인은 제품을 지원하는 보안 인시던트 응답 데 필요한 모든 의존성을 자동으로 설치합니다. 통합에 필요한 다른 Security Operations 애플리케이션을 설치하고 활성화하기 전에 이 플러그인을 설치하고 활성화합니다.

다음 Security Operations 애플리케이션이 에서 설치 및 활성화 ServiceNow Store되어 있는지 확인합니다. 설치되지 않은 경우 원활한 설치를 위해 다음 순서대로 한 번에 하나의 애플리케이션을 설치하고 활성화하십시오.

핵심 응용 프로그램 설치에 Security Operations 대한 자세한 내용은 해당 문서를 애플리케이션 활성화 ServiceNow Store참조하십시오제품 또는 애플리케이션에 대한 Security Operations 권리 가져오기.