이벤트 수집 통합을 위한 Splunk Enterprise Security 이벤트 프로파일 생성 및 이름 지정

릴리스 버전: Xanadu

업데이트 날짜 2024년 08월 01일

읽기49분

인스턴스에서 Now Platform 이벤트 프로파일을 생성하고 보안 인시던트를 생성하는 중요 이벤트를 결정합니다 Splunk .

시작하기 전에

필요한 역할: sn_si.admin

이 태스크 정보

SIR수집된 중요 이벤트에서 보안 인시던트가 생성되기 전에 Now Platform 보안 인시던트 응답 경보의 필드 값이 보안 인시던트 레이아웃 Now Platform 에 표시되므로 실제 보안 인시던트가 생성되는 방법을 미리 볼 수 있습니다.

사용 가능한 API를 사용하는 통합 관점에서 주목할 만한 이벤트는 개별 및 수동으로 별개의 주목할 만한 이벤트로 전달되거나, Splunk ES 정의된 프로파일 유형에 따라 인스턴스 환경 Now Platform 으로 보안 운영 자동으로 수집됩니다.

통합 워크플로우는 예를 들어 무단 액세스 시도 및 맬웨어와 같은 다양한 유형의 주목할 만한 이벤트를 수집합니다. 이러한 주목할 만한 이벤트는 인스턴스 환경에서 구성하는 보안 운영 프로파일을 기반으로 수집됩니다.

모든 주목할 만한 항목은 처음에 프로파일에서 구성된 상관관계 검색 유형에 대해 수집됩니다. 그런 다음 수집된 주목할 만한 항목을 추가로 필터링하여 보안 인시던트를 생성하는 주목할 만한 항목을 지정할 수 있습니다. 예를 들어 고위험으로 식별된 주목할 만한 이벤트에 대해서만 보안 인시던트를 생성하는 필터를 선호할 수 있습니다. 프로필이 활성화되기 전에 수집된 중요 이벤트에서 보안 인시던트를 생성하면 중요 이벤트의 개별 필드 값이 미리 보기에 대한 보안 인시던트 레이아웃의 해당 필드에 매핑됩니다.

프로시저

인스턴스의 Now Platform 이벤트 프로필 이름은 고유해야 하며 한 번에 하나의 활성 이벤트 프로필에만 매핑할 수 있습니다.
Now Platform 통합 워크플로우를 사용하여 특정 주목할 만한 항목을 수집합니다.
콘솔의 Splunk ES 선택 기준을 충족하는 모든 주목할 만한 이벤트는 처음에 인스턴스로 수집됩니다 Now Platform .
의 Now Platform 프로필은 콘솔에 있는 주목할 만한 이벤트를 캡슐화한 Splunk ES 것입니다.
프로필로 수집되는 주목할 만한 이벤트와 본체에 대한 Splunk ES 연결 사이에는 일대일 관계가 있으며, 한 연결에 대해 하나의 주목할 만한 이벤트 유형이 있습니다.
예약된 주목할 만한 이벤트에 대한 프로필을 만들려면 을 참조하십시오 예약된 중요 이벤트 수집을 위한 프로필 설정.
수동 이벤트 전달을 위한 프로필을 만들려면 을 참조하십시오 수동 이벤트 전달을 위한 프로필 설정.

예약된 중요 이벤트 수집을 위한 프로필 설정

정의된 Splunk ES 프로파일에 따라 주목할 만한 이벤트는 인스턴스 환경으로 보안 운영 자동으로 수집됩니다 Now Platform .

다음 표에서는 중요 이벤트의 예약된 수집에 대한 프로필을 설정하기 위해 따라야 하는 작업 목록을 보여줍니다.

표 1. 예약된 중요 이벤트 수집을 위한 프로필을 설정하는 단계
작업	섹션
이벤트 프로파일 생성	예약된 중요 이벤트 수집을 위한 프로파일 생성 문서를 참조하십시오.
상관 관계 검색 이름을 기준으로 주목할 만한 이벤트 선택	상관 관계 규칙을 기준으로 주목할 만한 이벤트 선택 이벤트 수집 통합을 위한 Splunk ES 프로파일의 이름 문서를 참조하십시오.
주목할 만한 이벤트 필드 매핑	통합을 위한 Splunk Enterprise Security 중요 이벤트 필드 매핑 문서를 참조하십시오.
사용자 지정 매핑 생성	주목할 만한 이벤트 인시던트 검토 및 기여 이벤트 상세 정보에 대한 Splunk ES 매핑 생성(예약된 수집) 문서를 참조하십시오.
보안 인시던트 미리 보기	이벤트 수집 통합에 Splunk Enterprise Security 대한 보안 인시던트 미리 보기 문서를 참조하십시오.
신규 및 업데이트된 주목할 만한 이벤트 예약 및 검색	이벤트 수집 통합에 Splunk Enterprise Security 대해 새롭고 업데이트된 중요 이벤트 예약 및 검색 문서를 참조하십시오.
SIR 인시던트 상태에 따라 중요 이벤트 업데이트 및 종결 자동화	SIR 인시던트 상태에 따라 중요 이벤트 업데이트 및 종결 자동화 문서를 참조하십시오.

예약된 중요 이벤트 수집을 위한 프로파일 생성

주목할 만한 이벤트가 자동으로 수집되도록 프로필을 설정할 수 있습니다.

시작하기 전에

필요한 역할: sn_si.admin

프로시저

인스턴스에서 Now Platform 주목할 만한 이벤트 또는 상관관계 규칙 유형에 대한 이벤트 프로파일을 생성하려면 다음으로 이동합니다. Splunk Integration > Splunk 이벤트 프로파일.
이벤트 프로파일 양식이 Splunk 표시되지 않으면 진행률 표시줄에서 이름을 클릭합니다.
새로 만들기를 클릭합니다.

필드에 내용을 입력합니다.

완성된 양식의 예는 다음 표에 나와 있습니다.

필드	설명
이름	프로파일의 고유한 이름입니다. 이름이 고유하지 않으면 오류가 표시되고 중복된 프로파일 이름이 저장되지 않습니다. 인스턴스의 Now Platform 프로파일 이름은 고유해야 합니다.
활성	확인란은 기본적으로 선택 취소되어 있으며 비활성화되어 있습니다. 프로파일을 활성화하기 전에 프로파일의 모든 섹션을 완료해야 합니다.
유형	선택 목록에서 프로파일 유형을 선택합니다. 예약된 이벤트 수집: 이 유형의 프로필은 구성된 일정에 따라 수집되는 주목할 만한 이벤트를 지원합니다. 필드에 내용을 입력합니다. 수동 이벤트 전달: 이 유형의 프로파일은 요청 시 인시던트 검토 콘솔에서 Splunk Enterprise Security 수동으로 전달되는 중요 이벤트를 지원합니다. 이러한 유형의 프로필에 대한 양식을 작성하려면 다음 단계를 참조하십시오.
소스	Splunk 주목할 만한 이벤트를 수집하도록 구성한 서버 또는 검색 끝입니다. 여러 Splunk 서버가 구성된 경우 프로필에 대해 수집될 중요 이벤트 유형에 적합한 서버를 선택합니다. 값을 입력해야 합니다.
순서	기본값은 100입니다. 여러 프로필을 만든 경우 이 값은 두 개 이상의 프로필이 동일한 트리거 조건을 공유할 때 실행 시간 실행 우선 순위를 제공합니다. 가장 낮은 번호의 프로파일에서 워크플로우의 우선순위가 가장 높습니다.
(선택 사항) 묘사	이 프로파일을 다른 프로파일과 구분하는 데 도움이 되는 추가 텍스트입니다.

다음 그림은 예약된 주목할 만한 이벤트 유형에 대해 작성된 양식의 예입니다.

예약된 주목할 만한 이벤트가 있는 프로필의 경우 프로필 구성을 계속하려면 한 가지 옵션을 선택합니다.

옵션	설명
계속	프로파일을 저장하고 이벤트 선택 단계로 진행합니다.
업데이트	이 프로파일에 대한 업데이트를 저장하고 이벤트 프로파일 목록으로 Splunk 돌아갑니다.
저장	이 프로파일을 저장하고 페이지에 남아 있습니다.
삭제	이 프로파일 기록을 삭제하고 이벤트 프로파일 목록으로 Splunk 돌아갑니다.

다음에 수행할 작업

다음 단계는 자동 수집에 대한 주목할 만한 이벤트를 선택하는 것입니다.

상관 관계 규칙을 기준으로 주목할 만한 이벤트 선택 이벤트 수집 통합을 위한 Splunk ES 프로파일의 이름

예약된 중요 이벤트 유형 수집에 대한 프로필을 생성한 후 해당 중요 이벤트를 보안 인시던트에 Now Platform 보안 인시던트 응답 매핑할 이 프로필의 상관관계 규칙 이름을 선택합니다Splunk Enterprise Security.

시작하기 전에

필요한 역할: sn_si.admin

이 태스크 정보

인스턴스에서 Now Platform 사용 가능한 상관관계 규칙을 확인하여 보안 인시던트를 수집하고 생성할 중요 이벤트 유형을 알 수 있습니다. 상관관계 규칙을 선택합니다. 이 양식의 목록에서 주목할 만한 이벤트를 하나 이상 선택할 수 있습니다.

프로시저

주목할 만한 이벤트 선택 페이지가 표시되지 않으면 진행률 표시줄에서 선택하여 표시합니다.

상관관계 규칙 목록에서 다음 옵션 중 하나를 선택하여 단일 상관관계 규칙 또는 여러 상관관계 규칙을 선택하고 사용 가능한 열에서 선택됨 열로 이동합니다.

이 양식의 상관관계 규칙 목록이 인시던트 검토 콘솔의 상관관계 규칙 목록과 일치합니다 Splunk ES . 이 양식에는 최대 500개의 상관관계 규칙이 표시됩니다. 에 나열된 Splunk ES상관관계 규칙이 500개가 넘는 경우 인스턴스의 Now Platform 이 양식에는 처음 500개의 중요 이벤트만 표시됩니다.


옵션	설명
상관관계 규칙 목록 검색 필드에 텍스트를 입력합니다.	검색 필드 아래의 열은 입력한 텍스트에 따라 사용 가능한 옵션으로 필터링됩니다. 상관관계 규칙을 선택하고 화살표 키를 사용하여 선택한 경보를 사용 가능 에서 선택됨으로 이동합니다.
상관관계 규칙 목록에서 상관관계 규칙을 두 번 클릭합니다.	선택됨 열이 선택 항목으로 채워집니다.
상관관계 규칙 목록에서 상관관계 규칙을 한 번 클릭합니다.	상관관계 규칙이 선택됩니다. 화살표 키를 사용하여 선택한 상관관계 규칙을 사용 가능 에서 선택됨으로 이동합니다.

계속하려면 하나의 옵션을 선택하십시오.

옵션	설명
계속하거나 진행률 표시줄에서 매핑을 클릭합니다	매핑 양식이 표시됩니다. 진행률 표시줄에서 매핑이 선택됩니다. 다음 단계는 중요 이벤트 필드를 보안 인시던트에 매핑하는 SIR 것입니다.
업데이트	데이터가 저장되고 Splunk 주목할 만한 이벤트 프로필 목록이 표시됩니다.
이전	이름 단계가 표시됩니다.
삭제	이 이벤트 프로파일을 삭제하면 Splunk 주목할 만한 이벤트 프로파일 목록이 표시됩니다.

다음에 수행할 작업

예약 Splunk Enterprise Security 된 프로파일에 대한 상관관계 규칙을 성공적으로 선택했습니다. 다음 단계는 중요 이벤트 값을 보안 인시던트의 필드에 매핑하는 것입니다.

통합을 위한 Splunk Enterprise Security 중요 이벤트 필드 매핑

프로파일에 대한 특정 상관관계 규칙과 중요 이벤트 유형을 식별한 후 다음 단계는 개별 중요 이벤트 필드를 (SIR) 보안 인시던트의 필드에 Now Platform 보안 인시던트 응답 매핑하는 것입니다.

개요

매핑 단계에서는 선택한 상관관계 규칙에 대해 샘플 주목할 만한 이벤트를 수집하거나 수동으로 전달된 주목할 만한 이벤트에 대해 주목할 만한 이벤트 데이터를 익스포트할 수 있습니다. 이벤트 매핑 프로세스는 생성하는 프로파일 유형에 관계없이 동일합니다.

다음 그림은 각 유형의 이벤트 프로파일에 대해 제공되는 기본 매핑 구성의 예입니다. 보안 인시던트를 채우는 필드를 사용자 지정할 수 있습니다. 이 매핑 단계에서 관련된 모든 중요 이벤트 필드 데이터가 SIR 인시던트 양식의 적절한 위치에 매핑되도록 한 다음 미리 보기 섹션에서 SIR 인시던트를 시각화할 수 있습니다.

다중 상관 관계를 사용하는 경우 필요한 이벤트를 선택하여 주목할 만한 이벤트를 가져올 수 있습니다. 수집에 대해 여러 경보를 구성한 경우 경보 이름을 사용하여 경보를 선택합니다.

클릭하여 데이터를 가져오면 Splunk 중요 이벤트 필드 이름과 해당 값이 양식 왼쪽에 채워집니다. 보안 인시던트 Splunk 필드에 매핑할 수 있는 주목할 만한 이벤트 필드입니다 SIR . 일부 필드는 SIR 보안 인시던트 필드에 여러 번 매핑될 수 있습니다.

콘솔에서 필드 매핑 구성 단계를 수집하기 위해 몇 가지 샘플 주목할 만한 이벤트를 검토하는 Splunk 것이 좋습니다. 이 단계는 진행률 표시줄에 매핑이라는 레이블이 지정됩니다. 이 페이지가 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다. 주목할 만한 이벤트 필드 매핑 프로세스를 지원하기 위해 에서 최대 5개의 샘플 주목할 만한 이벤트를 Splunk Enterprise Security 수집할 수 있습니다. 선택한 상관관계 규칙에 대해 가장 최근의 주목할 만한 이벤트 5개를 수집하거나 주목할 만한 이벤트 ID를 기반으로 최대 5개의 특정 주목할 만한 이벤트를 수집할 수 있는 옵션이 있습니다.

다음은 주목할 만한 이벤트를 매핑하는 데 필요한 단계에 대한 요약입니다.

예약된 주목할 만한 이벤트 샘플 데이터 수집: 자동으로 수집된 주목할 만한 이벤트 프로파일에 사용되는 샘플 데이터의 경우, 샘플 데이터를 검색하면 사용 가능한 주목할 만한 이벤트 필드와 해당 값이 매핑 양식의 왼쪽에 있는 기본 매핑 레이아웃에 표시됩니다. 끌어온 특정 중요 이벤트 ID의 값을 볼 수 있는 탭이 표시됩니다. 양식 왼쪽에 있는 중요 이벤트 샘플 수집 섹션의 모든 중요 필드가 양식 오른쪽의 보안 인시던트 필드에 매핑 ServiceNow 되는지 확인합니다.
필드 매핑: 왼쪽에서 중요 이벤트 필드를 끌어서 오른쪽의 SIR 인시던트 매핑 섹션에 놓 ServiceNow 아 매핑 구성을 편집합니다. 오른쪽의 매핑은 들어오는 주목할 만한 이벤트 필드와 나가는 보안 인시던트 필드를 연결합니다.
매핑 환경: SIR 인시던트 필드 매핑 섹션 하단에 있는 + 아이콘을 사용하여 필드를 추가하거나 제거하여 매핑 그리드를 사용자 지정합니다. 제공된 색상 코딩을 사용하여 간과되거나 중복된 필드를 추적합니다(매핑된 필드는 회색으로 표시되고 파란색 필드는 매핑되지 않음).
인시던트 생성 조건: 매핑 섹션이 완료되면 보안 인시던트를 생성해야 하는 주목할 만한 이벤트와 필터링해야 할 주목할 만한 이벤트(예: 우선순위가 낮은 주목할 만한 이벤트)를 지정할 수 있도록 필터 조건을 설정할 수 있습니다. 이 작업은 Notable Event Mapping(중요 이벤트 매핑) 섹션 아래에 있는 Incident Generation Conditions(인시던트 생성 조건) 섹션에서 수행됩니다.
이벤트 집계 기준: 유사하고 잠재적으로 중복되는 인시던트를 생성하는 대신 들어오는 주목할 만한 이벤트를 기존 SIR 보안 인시던트로 집계하는 추가 이벤트 집계 기준을 정의합니다. 각 프로파일에 대해 필드 일치 값 기준을 사용하는 이 추가 집계 기능은 모든 관련 보안 중요 이벤트 데이터를 단일 보안 인시던트에 배치하여 중복되는 활성 보안 인시던트 수를 줄일 수 있습니다.
형식 필드 번역: 경우에 따라 엔터프라이즈 중요 이벤트의 Splunk 이벤트 필드 값이 보안 인시던트의 필드로 직접 변환되지 않을 수 있습니다 SIR . 이러한 값의 경우, 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값을 포맷할 수 있습니다. 스크립트 편집기는 비슷하지만 동일하지 않은 값의 서식을 지정하려면 스크립트 편집기를 사용합니다. 예를 들어 스크립트 편집기에서 맬웨어 경보 및 바이러스 감염의 범주 값은 소스 범주에 대해 서로 다른 필드 값을 가질 수 있지만, 필드 변환 형식 기능을 사용하여 두 값 모두 보안 인시던트의 범주 필드 SIR 에서 공통 악성 코드 활동으로 변환될 수 있습니다.

다음 단계는 주목할 만한 이벤트를 수집하고 보안 인시던트 필드에 값을 매핑하는 SIR 것입니다.

주목할 만한 이벤트 인시던트 검토 및 기여 이벤트 상세 정보에 대한 Splunk ES 매핑 생성(예약된 수집)

중요 이벤트 필드 매핑 단계에서는 중요 이벤트의 개별 이벤트 필드를 (SIR) 보안 인시던트의 필드에 매핑합니다 Now Platform 보안 인시던트 응답 .

시작하기 전에

필요한 역할: sn_si.admin

이 태스크 정보

매핑 그리드는 상관관계 규칙 선택에서 선택한 주목할 만한 이벤트 유형에 맞게 사용자 지정할 수 있습니다. 이벤트 필드의 색상 코딩은 이미 매핑한 이벤트 값이 회색으로 표시될 때 이를 추적하는 데 도움이 되며 매핑되지 않은 나머지 필드는 모두 파란색으로 표시됩니다. 이렇게 하면 보안 인시던트에 추가된 필드 값과 매핑되지 않은 남아 있는 중요한 이벤트 정보가 있는지 여부를 더 잘 시각화할 수 있습니다.

양식 왼쪽의 중요 이벤트 샘플 수집 열에서 오른쪽의 SIR 인시던트 필드 매핑 열의 보안 인시던트 필드에 최대 5개의 주목할 만한 이벤트를 매핑합니다.

양식의 오른쪽에 있는 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 매핑을 생성합니다. 일반적으로 보안 인시던트 응답 양식을 채우는 중요한 필드인 기본 필드가 표시됩니다. 그러나 이러한 필드를 제거하고 + 및 - 버튼을 사용하여 추가 필드를 표시할 수 있습니다. 양식 오른쪽에 있는 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 맵을 생성합니다. 필드를 사용자 지정하면 보안 인시던트의 기본 매핑 그리드에 표시되지 않는 필드를 매핑 Splunk 할 수 있습니다 SIR .

프로시저

매핑 양식이 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다.
예약된 수집이 있는 프로필의 경우 주목할 만한 이벤트 샘플 수집 아래에서 샘플 데이터 가져오기 를 클릭하여 선택한 상관관계 규칙에 대한 콘솔에서 Splunk Enterprise 최신 샘플 주목할 만한 이벤트를 가져옵니다.

주:
주목할 만한 이벤트 샘플을 끌어오거나 주목할 만한 이벤트 매핑 경험에 사용하려는 특정 주목할 만한 이벤트에 대한 고유한 주목할 만한 이벤트 ID를 제공할 수 있습니다.

주목할 만한 이벤트 필드 및 값 결과는 개별 탭으로 표시됩니다. 주목할 만한 이벤트는 최대 5개까지 수집할 수 있습니다.

주목할 만한 이벤트 샘플을 가져오는 데 약간의 시간이 걸릴 수 있습니다. 트랜잭션이 작동 중임을 나타내는 메시지가 화면 상단에 표시됩니다.

다음 그림에서는 수집된 주목할 만한 이벤트 또는 임포트된 샘플 이벤트에 대한 필드-이름 값 쌍이 수집 끌어오기가 완료된 후 이 양식의 왼쪽에 표시됩니다. 이러한 값은 양식의 SIR 인시던트 필드 매핑 측면에 있는 보안 인시던트 필드에 매핑하는 값입니다.
양식 왼쪽의 필드 값을 양식 오른쪽의 보안 인시던트 필드에 매핑하려면 양식 왼쪽에 있는 파란색 필드 이름을 길게 클릭합니다.
필드 이름(예: src_category)을 끌어서 보안 인시던트 열의 필드 이름 옆에 있는 입력 식 열의 필드에 놓습니다.

필드 값이 입력 표현식 열에 표시됩니다. 다음 이미지에서는 src_category 보안 인시던트의 범주 필드에 매핑됩니다. 그러나 왼쪽의 모든 값을 오른쪽의 필드와 일치시킬 수 있습니다. 미리 보기 단계에서 값이 보안 인시던트에 올바르게 매핑되어 있는지 확인합니다.

매핑 프로세스에서 이벤트 필드가 간과되거나 중복되지 않도록 필드는 색으로 구분됩니다. 왼쪽의 연한 파란색 필드는 주목할 만한 이벤트 필드가 아직 선택되지 않고 보안 인시던트에 매핑되지 않았음을 나타냅니다. 수신되는 중요 필드를 보안 인시던트에 대한 둘 이상의 필드와 연결할 수 있습니다.

회색 필드는 필드가 선택되어 보안 인시던트의 필드에 매핑되었음을 나타냅니다. 이 색 코딩은 매핑을 추적하는 데 도움이 됩니다.
양식 오른쪽의 보안 인시던트에 표시되는 기본 필드에 필드를 추가하려면 다음 단계를 수행합니다.
1. SIR 인시던트 필드 매핑 섹션의 양식 오른쪽, 그리드 하단에서 더하기 아이콘을 클릭합니다.
  새 필드가 표시됩니다.
2. 보안 인시던트 열에서 표시되는 목록을 확장하고 필드를 선택합니다.
  
  새 필드의 확장된 목록에서 일부 필드는 음영 처리됩니다. 다음 그림에서 범주 는 보안 인시던트에 매핑되었기 때문에 배경이 회색입니다. 양식 왼쪽에 있는 중요 이벤트 필드의 색상 코딩과 마찬가지로 오른쪽의 보안 인시던트 필드에 대한 이 색상 코딩은 이미 매핑된 SIR 인시던트 필드를 추적하는 데 도움이 됩니다.
  
  주:
  동일한 보안 인시던트에 여러 옵저버블을 표시할 수 있도록 옵저버블 필드를 서로 다른 값으로 여러 번 매핑할 수 있습니다. 마찬가지로 구성 항목 및 작업 메모 필드는 여러 값을 지원합니다. 여러 값을 지원할 수 없는 필드에 두 값을 매핑하려고 할 경우 인시던트를 미리 보면 해당 필드에 값이 없다는 오류 메시지가 표시됩니다. 마찬가지로 보안 인시던트의 필드에 여러 옵션을 선택할 수 있는 목록이 있는 경우 목록에 표시되지 않는 해당 필드에 옵션을 매핑하려고 하면 보안 인시던트에 필드가 채워지지 않습니다.
3. 또는 새 행의 검색 필드에 값을 입력합니다.
4. 폼 왼쪽에서 마우스 왼쪽 버튼을 클릭하여 입력 식 필드에 추가할 이벤트 ID 를 선택합니다.
매핑에 필드 값을 추가하거나 제거하여 매핑을 계속합니다.
다음 그림은 편집된 매핑의 예입니다. 오른쪽 하단 필드에는 작업 메모 필드가 추가되며 둘 이상의 값이 있습니다. 긴 텍스트 문자열 필드의 경우 매핑 필드를 확장하여 전체 문자열을 확인하고 아래 스크린샷에 표시된 대로 필드의 오른쪽 아래 모서리를 당겨 필요에 따라 크기를 조정할 수 있습니다.

경고:
SIR 인시던트 필드 매핑 섹션에서 입력 표현식 필드에 언급된 URL 및 포트 번호는 예시일 뿐이며 바로 사용 가능한 URL 또는 포트 번호가 아닙니다.

미리 보기에서 이러한 값은 보안 인시던트의 작업 메모에 표시됩니다. 이 값은 매핑 섹션에 추가한 필드의 값이고 작업 메모 필드에 매핑된 값이 여러 개 있기 때문에 입력한 대로 값이 표시됩니다. 이 예에서는 필드에 입력한 공백과 구두점이 보안 인시던트 미리 보기의 작업 메모로 관련 항목 섹션에 표시됩니다.

다음 이미지는 이전 이미지의 값이 보안 인시던트에 표시되는 방식의 예입니다.
옵션: 스크립트 편집기를 열고 편집을 계속합니다.
스크립트 편집기에 대한 자세한 내용은 을 참조하십시오 스크립트 편집기를 사용하여 통합에 대한 경보 값의 서식을 Splunk Enterprise Event Ingestion 지정합니다.

주목할 만한 이벤트, 인시던트 검토 및 기여 이벤트에 대한 하이퍼링크 포함

필드 매핑 외에도 sn_si.admin 은 인시던트를 담당하는 보안 분석가가 콘솔의 중요 이벤트 인시던트 검토 Splunk Enterprise Security 와 드릴다운 검색의 일부인 기본 기여 이벤트로 하이퍼링크를 다시 연결할 수 있는 문자열 값을 매핑할 수 있습니다.

다음 문자열 값에는 서버 이름과 이러한 세부 정보를 하이퍼링크하는 데 사용할 수 있는 적절한 변수가 포함되어 Splunk Enterprise Security 있습니다.
- 중요 이벤트 인시던트 검토 하이퍼링크: https://splunkes2.secops-eng.com:8000/en-US/app/SplunkEnterpriseSecuritySuite/incident_review?earliest=${info_min_time}$&latest=now&form.srch=event_id%3D${event_id}$
  여기서 splunkes2.secops-eng.com:8000 는 Splunk 서버 소스이고 info_min_time 및 event_id 는 중요 이벤트에서 추출한 이벤트 필드 값입니다.
- 주목할 만한 이벤트 기여 이벤트(드릴다운 검색) 하이퍼링크: https://splunkes2.secops-eng.com:8000/en-GB/app/SplunkEnterpriseSecuritySuite/search?q=${drilldown_search}$
  여기서 splunkes2.secops-eng.com:8000 는 Splunk 서버 소스이고 drilldown_search 는 주목할 만한 이벤트에서 추출한 이벤트 필드 값입니다.
다음 이미지는 작업 메모 필드에 매핑된 주목할 만한 이벤트 인시던트 검토 URL과 주목할 만한 이벤트 인시던트 URL이라는 사용자 지정 필드에 매핑된 주목할 만한 이벤트 기여 이벤트(드릴다운 검색) 하이퍼링크를 보여줍니다.

다음 이미지는 주목할 만한 이벤트 인시던트 검토 하이퍼링크 및 기여 이벤트 URL이 있는 SIR 인시던트 미리 보기입니다.

인시던트 생성 필터링 조건
옵션: 앞의 필드 매핑 단계를 완료한 후에는 인시던트 생성 조건 빌더에서 동일한 필드 값을 사용하여 수신 중요 이벤트가 보안 인시던트를 생성 SIR 하기 위해 충족해야 하는 추가 기준을 정의할 수 있습니다.
인시던트 생성 조건을 설정하려면 다음 단계를 수행합니다.
1. 폼의 인시던트 생성 조건 섹션으로 스크롤하고 조건을 기준으로 필터링 확인란을 선택하여 옵션을 활성화합니다.
  
  필터 조건 작성기가 표시됩니다. 이러한 필터를 사용하여 필드에 설명된 특정 조건과 일치하는 보안 인시던트를 생성합니다.
  
  필터 조건 작성기의 첫 번째 필드에 대한 목록의 옵션은 수집한 이벤트의 주목할 만한 이벤트 샘플 수집 섹션에 표시되는 필드와 일치합니다. 이러한 필드는 동적이며 수집하는 주목할 만한 이벤트 또는 수동으로 전달된 주목할 만한 이벤트 샘플에 대해 선택한 이벤트에 따라 Splunk 변경됩니다. 입력하는 기준은 대/소문자를 구분하며 주목할 만한 이벤트의 Splunk Enterprise Security 값과 정확히 일치해야 합니다. 필터 필드에 입력할 값이 확실하지 않은 경우 콘솔로 Splunk Enterprise Security 돌아가서 키워드에 대한 중요 이벤트를 검토하는 것이 좋습니다.
2. 조건 작성기의 목록과 필드를 사용하여 첫 번째 행에 대한 필터를 설정합니다.
3. 조건을 더 추가하려면 필드 오른쪽에서 AND 또는 OR를 클릭합니다.
  AND를 선택하면 모든 조건이 일치해야 합니다. OR을 선택하면 두 조건 중 하나를 일치시킬 수 있습니다.
4. 옵션: 두 번째 행에서 두 번째 필터 조건을 설정합니다.
  
  다음 이미지는 보안 인시던트를 만들기 전에 일치해야 하는 두 가지 조건이 있는 예입니다.
  
  입력한 두 필터링 조건이 모두 일치하는 경우에만 보안 인시던트가 생성되도록 인시던트 생성 조건을 설정했습니다.
  
  이러한 유형의 인시던트 생성 조건 필터링을 사용하면 보안 이벤트의 범위를 좁히고, 에서 기본 상관 관계 검색 또는 필터를 수정하지 않고도 생성하는 불필요한 보안 인시던트 수를 제한할 수 Splunk있습니다. 추가 필터링 기준이 설정된 경우 모든 기준과 일치하는 주목할 만한 이벤트만 인시던트에 매핑됩니다.
  
  주:
  이벤트 필드 이름에 따옴표("), 하이픈('), 밑줄(-), 앳(@) 또는 앰퍼샌드(&)와 같은 특수 문자가 있는 경우 매핑 번역을 위해 이러한 문자를 대체해야 할 수 있으며 중복 이벤트 이름을 생성할 수 있습니다. 매핑은 적절하게 수행할 수 있지만 중복 이벤트 이름이 있는 필드를 구별하기 위해 숫자 접미사가 추가됩니다. 예를 들어, 첫 번째 이벤트 필드가 alerts.alert 이고 두 번째 이벤트 필드가 alerts@alerts되면 나머지 표준 텍스트 문자가 동일하기 때문에 이러한 필드를 고유하게 식별할 수 없습니다. 이 경우 두 번째 이벤트 필드에 접미사가 추가되고 필드 이름이 alerts@alert(1)로 바뀝니다.
유사한 주목할 만한 항목을 처리하고 중복 인시던트를 방지하기 위한 이벤트 집계 기준
옵션: 중복 보안 인시던트가 생성되지 않도록 하려면 들어오는 중요 이벤트가 미해결 보안 인시던트로 집계되도록 추가 이벤트 집계 기준을 정의합니다.
기준을 설정하려면 아래 단계를 따르십시오.
1. 폼에서 Event Aggregation Criteria(이벤트 집계 기준) 섹션으로 스크롤하고 Aggregate Conditions(집계 조건 ) 확인란을 선택하여 이 옵션을 활성화합니다.
  
  일치하는 값이 있는 인시던트 필드가 표시됩니다. 이러한 필드 이름은 보안 인시던트에 구성된 사용자 지정 필드를 포함하는 보안 인시던트의 필드입니다 SIR .
2. 다중 선택 입력 필드에서 의 기존 보안 인시던트 Now Platform와 일치시킬 필드 값을 선택합니다.
3. 새 기준 추가를 사용하여 여러 필드 일치 조건을 선택합니다.
  다중 선택 입력 필드에서 선택하는 모든 필드 값은 AND 조건을 사용하여 집계 기준과 일치합니다. 정의된 다중 선택된 필드 조건 중 하나라도 OR 조건을 사용하여 충족되는 경우 집계가 발생하는 여러 필드 일치 조건을 선택하려면 새 기준 추가 를 클릭합니다.
  
  새로운 주목할 만한 이벤트가 매핑 단계의 집계 필드 조건에서 선택된 모든 값과 일치하는 경우, 새로운 주목할 만한 이벤트는 동일한 필드 값으로 가장 최근에 열린 보안 인시던트에 자동으로 추가됩니다. 보안 인시던트에 대한 sn_si.analyst 역할의 사용자는 보안 인시던트의 관련 목록에서 추가된 모든 집계된 중요 이벤트를 볼 수 있습니다. 보안 인시던트에 대해 집계된 모든 주목할 만한 이벤트는 작업에 대한 이벤트 관련 목록에 표시됩니다 Splunk . 이 목록은 연결된 타임스탬프 및 집계된 필드 값에 대해 자세히 설명합니다. 이 정보는 이러한 중요 이벤트가 기존 보안 인시던트로 집계되는 이유를 이해하는 데 도움이 됩니다. 이 탭이 표시되지 않으면 관련 링크 아래에서 기록의 왼쪽으로 스크롤하고 모든 관련 목록 표시 링크를 클릭합니다.
4. 옵션: 보안 인시던트에 최근에 추가된 새로운 주목할 만한 이벤트에 대한 작업 메모를 기록하려면 이 확인란을 선택하여 이 옵션을 활성화합니다.
  작업 메모는 경보 상세 정보 및 매핑 섹션의 작업 메모 필드에 추가되었을 수 있는 기타 상세 정보에 대한 링크와 함께 새로운 주목할 만한 항목이 추가되었음을 기록합니다.
중요 이벤트의 Splunk 값을 보안 인시던트의 필드에 매핑했습니다 SIR . 또한 인시던트 생성 필터링 기준을 사용하여 보안 인시던트 생성을 제한하는 추가 조건을 구성했습니다. 또한 이벤트 필드 값이 구성된 집계 기준과 일치할 때 기존 SIR 보안 인시던트에 주목할 만한 이벤트를 추가했습니다.

프로파일 구성을 계속하려면 하나를 선택합니다.

옵션	설명

계속	매핑 양식이 표시됩니다. 진행률 표시줄에서 미리 보기가 선택됩니다. 다음 단계는 보안 인시던트에 SIR 매핑한 필드를 미리 보는 것입니다.
업데이트	데이터가 저장되고 Splunk 이벤트 프로파일 목록이 표시됩니다.
이전	주목할 만한 이벤트 선택 양식이 표시됩니다.
삭제	이 이벤트 프로필을 삭제하면 Splunk 이벤트 프로필 목록이 표시됩니다.

다음에 수행할 작업

다음 단계는 보안 인시던트에 매핑한 값을 미리 보는 것입니다.

이벤트 수집 통합에 Splunk Enterprise Security 대한 보안 인시던트 미리 보기

매핑 단계를 완료한 후 (SIR) 보안 인시던트에서 매핑한 값을 미리 봅니다 Now Platform® 보안 인시던트 응답 . 이 미리 보기 단계를 통해 보안 인시던트에 표시하려는 모든 중요 필드를 매핑했는지 확인할 수 있습니다.

시작하기 전에

필요한 역할: sn_si.admin

이 태스크 정보

보안 인시던트를 미리 보고 필요에 따라 매핑을 다시 편집하여 오류가 있는 필드를 수정하거나 누락된 데이터를 채웁니다. 미리 보기가 성공적으로 완료되지 않으면 예약 단계를 진행할 수 없습니다. 보안 인시던트의 미리 보기 SIR 는 제품에 실제 인시던트로 SIR 저장되지 않습니다.

프로시저

보안 인시던트 미리 보기가 표시되지 않으면 진행률 표시줄에서 미리 보기를 클릭합니다.
여러 이벤트가 사용된 경우 이벤트 이름 선택 목록에서 항목을 선택합니다.
샘플 주목할 만한 이벤트 ID 선택 목록에서 이벤트 ID를 선택합니다.
샘플 주목할 만한 이벤트 ID 선택 목록에서 항목을 선택합니다.

보안 인시던트가 표시됩니다. 필드의 정보를 변경하지 마십시오. 이 뷰는 읽기 전용 뷰이며 이 보안 인시던트의 기록은 저장되지 않습니다.
보안 인시던트에 대한 중요 이벤트 값의 필드 매핑을 검토합니다.

앞의 이미지는 매핑 오류가 있는 미리 보기의 예입니다. 이 예에서 주목할 만한 이벤트의 필드 값에는 SIR 인시던트 양식의 참조 필드에 적합한 값이 없습니다. 고객 관리 데이터베이스(CMDB)에서 구성 항목 필드에 대한 입력 값을 찾을 수 없음을 ServiceNow® 나타내는 오류 메시지가 표시됩니다. 따라서 이 매핑된 필드 값은 추가 수정 없이 SIR 보안 인시던트 양식에 표시되지 않습니다.
이 오류를 해결하려면 진행률 표시줄에서 매핑 을 클릭합니다.
매핑을 편집하여 잘못된 값을 수정하거나 누락된 데이터를 채웁니다.
매핑을 미리 보고 오류 메시지에 설명된 오류를 계속 수정합니다.

다음 그림은 모든 오류 메시지가 해결된 후 보안 인시던트의 아래쪽 절반 SIR 에 있는 인시던트 세부 정보 탭의 예입니다. 이 예시에서는 설명 및 작업 메모 필드가 매핑되었으며, 이들 필드는 주목할 만한 이벤트 샘플에서 Splunk Enterprise Security 가져온 값 쌍의 값으로 채워져 있습니다. 첫 번째 작업 메모 필드에는 값이 없습니다. 매핑 단계 동안 매핑 그리드에서 이 필드가 비어 있었습니다. 값이 있는 추가 작업 메모 필드가 매핑 섹션에 추가되었습니다.

오류를 수정하고 필드가 원하는 방식인지 확인한 후 하나의 옵션을 선택하여 계속합니다.

옵션	설명
계속	일정 지정 양식은 예약된 중요 이벤트가 있는 프로파일에 대해 표시됩니다. 진행률 표시줄에서 예약이 선택됩니다.
마침	수동 이벤트 전달을 위해 구성된 프로필의 경우 Finish( 마침)를 클릭합니다. 콘솔에서 직접 Splunk Enterprise Security 요청 시 익스포트되는 이벤트 데이터가 포함된 프로파일에는 예약 단계가 없습니다.
업데이트	데이터가 저장되고 이벤트 프로파일 목록으로 Splunk 돌아갑니다.
이전	진행률 표시줄에 매핑 단계가 표시됩니다.
삭제	이 이벤트 프로파일을 삭제하면 Splunk 이벤트 프로파일 목록이 표시됩니다.

다음에 수행할 작업

오류 메시지가 표시되지 않고 보안 인시던트의 필드 매핑에 만족하는 경우 다음 단계는 통합에 Splunk Enterprise Event Ingestion 대한 경보 예약 및 검색입니다.

이벤트 수집 통합에 Splunk Enterprise Security 대해 새롭고 업데이트된 중요 이벤트 예약 및 검색

자동화된 주목할 만한 이벤트 수집 프로필의 경우 이벤트 프로필 구성에 이 단계가 필요합니다. 이 단계에서는 중요 이벤트 검색에 대한 기본 설정을 확인하거나 필요에 따라 일정을 수정할 수 있습니다. 또한 이 단계에서는 날짜 범위를 사용하여 과거의 주목할 만한 이벤트를 검색할 수 있습니다.

시작하기 전에

필요한 역할: sn_si.admin

이 태스크 정보

자동화된 주목할 만한 이벤트 수집을 위한 프로필의 경우 스케줄링 단계에서 주목할 만한 기록을 수집할지 여부를 선택합니다. 또한 경보 프로파일 구성과 일치하는 향후 새로운 주목할 만한 이벤트 및 업데이트된 주목할 만한 이벤트를 폴링할 빈도도 선택합니다.

자동화된 중요 이벤트 수집 프로필의 경우 프로필이 활성화되기 전에 일정 및 경보 검색을 확인하고 수정합니다. 이는 예약된 경보 프로파일에 대한 모든 이벤트 프로파일 구성 프로세스에 필요한 단계입니다.

프로파일별로 이러한 폴링 간격을 구성합니다. 이벤트 수집 통합의 성능은 Splunk 다양한 폴링 간격의 영향을 받을 수 있습니다. 예약할 때 서버의 폴링 오버헤드 Splunk Enterprise Security 를 줄이는 것과 주목할 만한 이벤트가 생성되거나 업데이트될 때 가능한 한 빨리 알림을 받고자 하는 욕구의 균형을 맞추는 것이 좋습니다. 모든 프로필에 대해 5분 기본값이 설정되지만 필요한 경우 이 설정을 1분 정도로 낮게 수정할 수 있습니다.

신규 및 업데이트된 주목할 만한 이벤트 가져오기

폴링 일정이 설정되면 예약된 작업은 이전에 끌어왔지만 인시던트 필터링 기준을 충족하지 않은 새 중요 이벤트와 업데이트된 중요 이벤트를 모두 끌어옵니다. 따라서 주목할 만한 이벤트가 처음 생성될 때는 표시되지 않지만 업데이트가 발생한 후(예: 조사 단계) 사용할 수 있게 되는 기준에 따라 인시던트를 유연하게 생성할 수 있습니다. 주목할 만한 특정 이벤트에 대해 인시던트가 생성되면 현재 주목할 만한 사건이 활성 ServiceNow® 보안 인시던트로 처리될 것으로 예상되므로 후속 업데이트는 무시됩니다. 그러나 이전에 수집되었지만 인시던트 생성 기준을 충족하지 못한 다른 모든 주목할 만한 항목은 활성 인시던트의 일부가 될 때까지 계속해서 인시던트 생성 기준에 대해 끌어오고 확인됩니다.

프로시저

진행률 표시줄에 예약 페이지가 표시되지 않으면 예약을 선택합니다.

콘솔에서 주목할 만한 이벤트를 끌어오는 Splunk Enterprise Security 방법과 시기를 예약하려면 하나를 선택합니다.

옵션	설명
진행 중 이벤트 수집 필드 선택됨 일회성 검색 필드 지워짐	진행 중 이벤트 기본 설정에 따라 인스턴스는 Now Platform 5분마다 서버에서 신규 및 업데이트된 중요 이벤트를 가져옵니다 Splunk Enterprise Security . 주목할 만한 이벤트가 발견되고 인시던트 생성 필터링 기준이 일치하면 보안 인시던트가 생성됩니다. 최신 데이터를 가져오기 위한 수집 폴링 오버헤드 욕구의 균형을 맞추기 위해 5분이 기본 설정입니다. 그러나 필요한 경우 이 값을 1분만큼 낮게 수정할 수 있습니다.
진행 중 주목할 만한 이벤트 필드 지워짐 일회성 검색 필드 선택됨	일회성 검색 중요한 이력 이벤트를 수집하기 위해 일회성 끌어오기를 원하는 경우 이 구성을 사용합니다. 이 설정이 구성되면 프로파일을 한 번 사용하여 날짜 범위를 기반으로 하는 기록 이벤트에서 주목할 만한 이벤트를 검색합니다. 날짜 이후 필드 오른쪽에 있는 달력 아이콘을 클릭합니다. 표시되는 달력에서 경보 끌어오기를 시작할 날짜를 선택합니다. 날짜 이후 값으로 시작하여 현재 날짜까지 주목할 만한 이벤트가 검색됩니다. 현재 날짜로부터 최대 7일 전으로 가져올 수 있습니다. 이 기능은 보관을 위해 상당한 양의 기록 이벤트를 Splunk Enterprise Security 검색하기 위한 것이 아니라 프로필 활성화 시 활발하게 작업 중인 최소한의 진행 중 이벤트를 검색하기 위한 것입니다. 주목할 만한 이벤트를 끌어온 후에는 이 설정이 현재 날짜로부터 앞으로 이 프로파일에 대해 더 많은 주목할 만한 이벤트를 검색하지 않습니다. 이 설정은 입력한 범위에 대해 발견된 모든 중요 이벤트로 보안 인시던트를 채웁니다.

옵션

설명

진행 중 이벤트 수집 필드 선택됨
일회성 검색 필드 지워짐

진행 중 이벤트

기본 설정에 따라 인스턴스는 Now Platform 5분마다 서버에서 신규 및 업데이트된 중요 이벤트를 가져옵니다 Splunk Enterprise Security . 주목할 만한 이벤트가 발견되고 인시던트 생성 필터링 기준이 일치하면 보안 인시던트가 생성됩니다. 최신 데이터를 가져오기 위한 수집 폴링 오버헤드 욕구의 균형을 맞추기 위해 5분이 기본 설정입니다. 그러나 필요한 경우 이 값을 1분만큼 낮게 수정할 수 있습니다.

진행 중 주목할 만한 이벤트 필드 지워짐
일회성 검색 필드 선택됨

일회성 검색

중요한 이력 이벤트를 수집하기 위해 일회성 끌어오기를 원하는 경우 이 구성을 사용합니다.

이 설정이 구성되면 프로파일을 한 번 사용하여 날짜 범위를 기반으로 하는 기록 이벤트에서 주목할 만한 이벤트를 검색합니다. 날짜 이후 필드 오른쪽에 있는 달력 아이콘을 클릭합니다. 표시되는 달력에서 경보 끌어오기를 시작할 날짜를 선택합니다. 날짜 이후 값으로 시작하여 현재 날짜까지 주목할 만한 이벤트가 검색됩니다. 현재 날짜로부터 최대 7일 전으로 가져올 수 있습니다. 이 기능은 보관을 위해 상당한 양의 기록 이벤트를 Splunk Enterprise Security 검색하기 위한 것이 아니라 프로필 활성화 시 활발하게 작업 중인 최소한의 진행 중 이벤트를 검색하기 위한 것입니다.

주목할 만한 이벤트를 끌어온 후에는 이 설정이 현재 날짜로부터 앞으로 이 프로파일에 대해 더 많은 주목할 만한 이벤트를 검색하지 않습니다. 이 설정은 입력한 범위에 대해 발견된 모든 중요 이벤트로 보안 인시던트를 채웁니다.

초기 중요 이벤트 수집 시간을 예약하는 예로, 현지 시간으로 하루에 한 번 오전 4시에 실행되는 일일 Splunk 보안 검사가 있는 경우 인스턴스에서 Now Platform 해당 중요 이벤트 프로파일이 현지 시간으로 오전 4시 5분에 실행되도록 설정하여 보안 실패 이벤트를 즉시 캡처하고 보안 인시던트를 생성할 수 있습니다. 초기 이벤트 수집 필드에 04 05 00 을 입력합니다. 증분(분) 필드에 1440 (24시간)을 입력하여 초기 이벤트 수집으로부터 24시간 동안 다음 이벤트 수집을 예약합니다. 초기 이벤트 수집 시간과 다음 이벤트 수집 시간이 모두 필드에 표시됩니다.

이 예제에 대한 설정을 구성하려면 다음 단계를 수행합니다.
1. 예약 페이지가 표시되면 진행 중인 이벤트 수집 확인란을 선택하여 이 옵션을 활성화합니다.
2. 증분(분) 필드에 1440 (24시간)을 입력합니다.
3. 초기 이벤트 수집 선택 확인란을 클릭하여 초기 이벤트 수집 및 다음 이벤트 수집 필드에 대한 편집을 활성화합니다.
4. 초기 이벤트 수집 필드에 04 05 00을 입력합니다.
  다음 이벤트 수집(예상) 필드에 다음 이벤트 수집 시간이 표시됩니다.

프로파일 구성을 계속하려면 다음 중 하나를 클릭합니다.

옵션	설명
계속	추가 옵션 양식이 표시됩니다. 진행률 표시줄에서 추가 옵션이 선택됩니다. 다음 단계는 SIR 인시던트가 생성 및/또는 종결될 때 중요 이벤트를 업데이트하는 것입니다.
업데이트	데이터가 저장되고 Splunk 이벤트 보안 프로파일 목록이 표시됩니다.
이전	일정 양식이 표시됩니다.
삭제	이 이벤트 프로파일을 삭제하면 Splunk Enterprise Security 이벤트 프로파일 목록이 표시됩니다.

SIR 인시던트 상태에 따라 중요 이벤트 업데이트 및 종결 자동화

통합과의 양방향 인터페이스를 Splunk Enterprise Security 사용하여 보안 인시던트를 생성한 후에는 생성하고 업데이트할 수 있습니다.

시작하기 전에

통합에는 Splunk Enterprise Security 중요 이벤트가 보안 인시던트를 생성하고 보안 인시던트가 생성 및/또는 종결된 후 중요 이벤트를 업데이트할 수 있는 양방향 인터페이스가 있습니다.

관련 인시던트 상세 정보에는 인시던트 번호, 할당 그룹, SIR 인시던트 URL이 포함됩니다SIR. 이 섹션은 주목할 만한 이벤트를 업데이트하는 선택적 기능을 제공하는 프로필 구성 설정의 마지막 부분입니다 Splunk Enterprise Security .

필요한 역할: sn_si.admin

프로시저

진행률 표시줄에 추가 옵션 페이지가 표시되지 않으면 추가 옵션을 선택합니다.

아래 지침에 따라 보안 인시던트 업데이트를 기반으로 중요 이벤트를 업데이트하기 위한 구성을 완료합니다.

옵션 또는 필드	설명
SIR 인시던트 작성 시 중요 이벤트 업데이트	주목할 만한 이벤트에서 보안 인시던트가 생성될 때 주목할 만한 이벤트 상태를 업데이트하고 주석을 추가하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 생성하는 초기 트리거 주목할 만한 이벤트와 집계된 이벤트 모두에 대해 발생할 수 있습니다.
초기 주목할 만한 이벤트 상태 업데이트	서버에서 검색 Splunk Enterprise Security 된 사용 가능한 모든 상태 값을 표시하는 메뉴에서 상태 옵션을 선택해야 합니다. 여기에는 아래 스크린샷과 같이 할당됨과 같은 ServiceNow 사용자 지정 생성 상태가 포함될 수 있습니다. 수집된 주목할 만한 이벤트에 대한 보안 인시던트가 생성될 때 모든 주목할 만한 이벤트에 대해 설정할 상태 값을 선택합니다. 여기에는 새 인시던트를 생성하는 주목할 만한 항목과 기존 미해결 인시던트로 수집 및 집계되는 주목할 만한 항목이 포함됩니다.
주목할 만한 이벤트에 다시 게시된 초기 설명	주목할 만한 상태 값을 업데이트하는 것 외에도 주목할 만한 이벤트 인시던트 검토 이력에 코멘트를 게시할 수도 있습니다. 지침에 표시된 대로 인시던트 양식의 필드에 보안 인시던트 응답 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하는 등 의견 섹션에 표시된 기본 텍스트를 편집할 수 있습니다.
SIR 인시던트 종결 시 중요 이벤트 종결	주목할 만한 이벤트에서 보안 인시던트가 닫힐 때 주목할 만한 이벤트 상태를 업데이트하고 주석을 추가하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 생성하는 초기 트리거 주목할 만한 이벤트와 집계된 이벤트 모두에 대해 발생합니다.
종결 주목할 만한 이벤트 상태 업데이트	서버에서 검색 Splunk Enterprise Security 된 사용 가능한 모든 상태 값을 표시하는 상태 옵션을 목록 메뉴에서 선택해야 합니다. 여기에는 아래 스크린샷과 같이 할당됨과 같은 ServiceNow 사용자 지정 생성 상태가 포함될 수 있습니다. 수집된 주목할 만한 이벤트에 대한 보안 인시던트가 생성될 때 모든 주목할 만한 이벤트에 대해 설정할 상태 값을 선택합니다. 여기에는 새 인시던트를 생성하는 주목할 만한 인물뿐 아니라 기존 미해결 인시던트로 수집 및 집계된 주목할 만한 인물도 포함됩니다.
주목할 만한 이벤트에 다시 게시된 종결 설명	주목할 만한 상태 값을 업데이트하는 것 외에도 주목할 만한 이벤트 인시던트 검토 이력에 종결 설명을 게시할 수도 있습니다. 지침에 표시된 대로 인시던트 양식의 필드에 보안 인시던트 응답 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하는 등 의견 섹션에 표시된 기본 텍스트를 편집할 수 있습니다.

Finish(마침)를 클릭하여 구성을 완료합니다.
확인 대화 상자가 표시됩니다. 통합을 위한 설정 및 구성을 성공적으로 완료했습니다. 이 프로파일을 활성화하여 일정에 따라 콘솔에서 Splunk Enterprise Security 주목할 만한 이벤트를 끌어올 수 있습니다. 24시간 동안 만들 수 있는 보안 인시던트는 1,000개로 제한됩니다. 발생한 경보당 최대 100개의 주목할 만한 이벤트가 있습니다. 제한에 도달한 후 후속 중요 이벤트는 무시됩니다.
다음 이미지는 기본값이 채워진 추가 옵션 탭을 보여줍니다.

추가 옵션 구성을 사용하면 주목할 만한 이벤트 인시던트 검토에 상태 변경과 이력 주석의 업데이트가 표시됩니다.

수동 이벤트 전달을 위한 프로필 설정

정의된 Splunk ES 프로파일에 따라 주목할 만한 이벤트는 인스턴스 환경에 Now Platform 별개의 주목할 만한 이벤트 보안 운영 로 수동 전달됩니다.

중요 이벤트의 수동 전달을 위한 프로필 설정하기:


작업	섹션
이벤트 프로파일 생성	수동으로 전달된 이벤트에 대한 프로파일 생성 문서를 참조하십시오.
주목할 만한 이벤트 필드 매핑	통합을 위한 Splunk Enterprise Security 중요 이벤트 필드 매핑 문서를 참조하십시오.
사용자 지정 매핑 생성	중요 이벤트 인시던트 검토 및 기여 이벤트 상세 정보에 대한 Splunk ES 매핑 생성(수동 전달) 문서를 참조하십시오.
보안 인시던트 미리 보기	이벤트 수집 통합에 Splunk Enterprise Security 대한 보안 인시던트 미리 보기 문서를 참조하십시오.
수동 수집을 위한 환경 설정 Splunk	중요 이벤트 수집 통합을 위한 수동 이벤트 수집을 Splunk Enterprise Security 위한 환경 설정 Splunk 문서를 참조하십시오.
SIR 인시던트 상태에 따라 중요 이벤트 업데이트 및 종결 자동화	SIR 인시던트 상태에 따라 중요 이벤트 업데이트 및 종결 자동화 문서를 참조하십시오.

수동으로 전달된 이벤트에 대한 프로파일 생성

수동으로 전달된 이벤트에 대한 프로필을 설정할 수 있습니다.

시작하기 전에

필요한 역할: sn_si.admin

프로시저

수동 이벤트 전달을 지원하는 프로필을 만들려면 다음 단계를 수행합니다.

콘솔에서 Splunk Enterprise Security 요청 시 전달하는 이벤트의 경우 기존 프로파일에 개별 필드 매핑을 기반으로 할 수 있습니다. 또는 익스포트한 첨부 파일 데이터에 대한 새 매핑 그리드를 만들 수 있습니다. 수동으로 전달하는 이벤트는 이벤트 프로파일에 예약되지 않습니다.

아직 선택하지 않은 경우 유형 필드의 선택 목록에서 수동 이벤트 전달을 선택합니다.

표시되는 매핑 옵션 필드의 선택 목록에서 하나의 매핑 옵션을 선택하여 계속합니다.

매핑 옵션 선택 목록에서 사용 가능한 매핑 옵션에 대한 자세한 내용은 다음 그림과 테이블을 참조하십시오.

표 2. 새 필드 매핑 옵션 생성
옵션 또는 필드	설명
새 필드 매핑 옵션 생성	이벤트에 대한 새 필드 매핑입니다. 만들고 있는 프로파일과 유사한 기존 필드 매핑이 없는 경우 이 옵션을 선택하여 새 맵을 만듭니다.
기본 프로파일	모든 Splunk 이벤트에 대한 기본 이벤트 전달 프로필입니다. 기본값은 지워집니다(비활성화됨). 이 옵션을 사용하면 이 프로필이 수동 이벤트 전달의 기본 프로필이 됩니다. 이 프로파일은 수동으로 전달된 이벤트의 소스와 일치하는 항목이 없는 경우에 사용됩니다. 출처를 알 수 없는 모든 이벤트의 기본 프로필이 됩니다. 기본 프로파일 옵션이 활성화된 경우 소스 필드를 사용할 수 없습니다.
소스(주목할 만한 이벤트 필드)	이 필드는 일반적으로 주목할 만한 사건(예: 무차별 암호 대입 공격)을 트리거한 상관관계 규칙을 정의하는 필드입니다. 기본 프로파일 옵션을 사용하는 경우 이 필드를 사용할 수 없습니다. 사용 가능한 경우 이 필드는 일반적으로 이벤트 유형에 따라 다른 Splunk 상관관계 규칙을 기반으로 보안 인시던트 필드에 대한 고유한 이벤트 필드 매핑을 허용합니다. 서로 다른 상관관계 규칙을 별도로 관리하려면 상관관계 규칙을 기반으로 다른 프로파일 이벤트 프로파일을 생성하여 이 요구 사항을 충족할 수 있습니다.
중요 이벤트 업데이트 자동화	주목할 만한 이벤트에서 SIR 인시던트가 생성되거나 SIR 인시던트가 종결될 때 주목할 만한 이벤트 상태를 업데이트하고 주석을 추가하려면 이 확인란을 선택합니다. 이는 SIR 인시던트를 생성하는 초기 트리거 주목할 만한 이벤트와 집계된 이벤트 모두에 대해 발생합니다.
소스(Splunk 서버)	Splunk 중요 이벤트의 소스로 구성한 서버입니다. 여러 Splunk 서버를 구성한 경우 프로필에 대해 업데이트될 중요 이벤트 유형에 적합한 서버를 선택합니다. 값을 입력해야 합니다.
순서	기본값은 100입니다. 이 설정을 기본값으로 둡니다. 많은 수의 프로필을 만든 경우 이 값은 둘 이상의 프로필이 트리거 조건을 공유할 때 실행 시간 실행 우선 순위를 제공합니다. 가장 낮은 번호의 프로파일에서 워크플로우의 우선순위가 가장 높습니다.
(선택 사항) 묘사	이 프로파일을 다른 프로파일과 구분하는 데 도움이 되는 텍스트입니다.

새 필드 매핑이 있는 프로파일의 경우 소스 유형 필드에 값을 입력했는지 확인하고 계속 을 클릭하여 구성의 매핑 단계로 진행합니다.

기존 필드 매핑이 있는 프로필의 경우 자세한 내용은 다음 그림과 표를 참조하십시오.

표 3. 필드 매핑 옵션에 대한 기존 프로파일 선택
옵션 또는 필드	설명
필드 매핑을 위한 기존 프로파일 선택	새로운 중요 이벤트 프로파일에 대한 기존 필드 매핑을 재사용합니다. 프로파일에서 복사 필드가 표시됩니다. 이 프로파일에 대한 기존 필드 매핑을 복사하려면 다음 단계를 따르십시오. 표시되는 Copy from profile(프로파일에서 복사) 필드의 왼쪽에서 검색 아이콘을 클릭합니다. Splunk 표시되는 ES 이벤트 프로파일 목록에서 복사할 맵이 있는 프로파일 이름을 클릭합니다. 프로파일 이름이 프로파일에서 복사 필드에 표시됩니다.
기본 프로파일	일치하지 않는 소스가 있는 모든 Splunk 중요 이벤트에 대한 기본 이벤트 전달 프로파일입니다. 기본값은 선택 취소(사용 안 함)입니다. 이 옵션을 사용하면 이 프로필이 수동 이벤트 전달의 기본 프로필이 됩니다. 기본 프로파일 옵션이 활성화된 경우 소스 필드를 사용할 수 없습니다.
소스(주목할 만한 이벤트 필드)	이 필드는 일반적으로 주목할 만한 사건(예: 무차별 암호 대입 공격)을 트리거한 상관관계 규칙을 정의하는 필드입니다. 기본 프로파일 옵션을 사용하는 경우 이 필드를 사용할 수 없습니다. 사용 가능한 경우 이 필드는 일반적으로 이벤트 유형에 따라 다른 Splunk 상관관계 규칙을 기반으로 보안 인시던트 필드에 대한 고유한 이벤트 필드 매핑을 허용합니다. 서로 다른 상관관계 규칙을 별도로 관리하려면 상관관계 규칙을 기반으로 다른 프로파일 이벤트 프로파일을 생성하여 이 요구 사항을 충족할 수 있습니다.
주목할 만한 이벤트 자동화	주목할 만한 이벤트에서 보안 인시던트가 생성되거나 보안 인시던트가 종결될 때 중요 이벤트 상태를 업데이트하고 주석을 추가하려면 이 확인란을 선택합니다. 이는 보안 인시던트를 생성하는 초기 트리거 중요 이벤트와 집계된 이벤트 모두에 대해 발생합니다.
소스(Splunk 서버)	Splunk 중요 이벤트의 소스로 구성한 서버 또는 검색 끝입니다. 여러 Splunk 서버를 구성한 경우 프로필에 대해 업데이트될 중요 이벤트 유형에 적합한 서버를 선택합니다. 값을 입력해야 합니다.
순서	기본값은 100입니다. 이 설정을 기본값으로 둡니다. 여러 프로필을 만든 경우 이 값은 두 개 이상의 프로필이 트리거 조건을 공유할 때 실행 시간 우선 순위를 제공합니다. 가장 낮은 번호의 프로파일에서 워크플로우의 우선순위가 가장 높습니다.
(선택 사항) 묘사	이 프로파일을 다른 프로파일과 구분하는 데 도움이 되는 텍스트입니다.

프로파일에 대한 기존 매핑을 선택하기 위한 양식의 맨 아래에서 마침 을 클릭하여 프로파일 구성을 완료합니다.

중요 이벤트 인시던트 검토 및 기여 이벤트 상세 정보에 대한 Splunk ES 매핑 생성(수동 전달)

중요 이벤트 필드 매핑 단계에서는 중요 이벤트의 개별 이벤트 필드를 (SIR) 보안 인시던트의 필드에 매핑합니다 Now Platform 보안 인시던트 응답 .

시작하기 전에

필요한 역할: sn_si.admin

이 태스크 정보

양식의 오른쪽에 있는 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 매핑을 생성합니다. 일반적으로 SIR 인시던트 양식에서 채워야 하는 중요한 필드인 기본 필드가 표시됩니다. 그러나 이러한 필드를 제거하고 + 및 - 버튼을 사용하여 추가 필드를 표시할 수 있습니다. 양식 오른쪽에 있는 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 맵을 생성합니다. 필드를 사용자 지정하면 보안 인시던트의 기본 매핑 그리드에 표시되지 않은 필드를 매핑 Splunk 할 수 있습니다 SIR .

프로시저

매핑 양식이 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다.
다음 단계에 따라 인스턴스에 첨부 파일 데이터를 업로드합니다 Now Platform® .
1. 아직 로그인하지 않았다면 본체에 Splunk Enterprise 로그인합니다.
2. 검색 탭으로 이동하여 익스포트할 주목할 만한 이벤트 데이터가 있는 검색의 이름을 입력합니다.
  무차별 암호 대입 공격 행동 상관관계 규칙에 대한 주목할 만한 이벤트를 검색하는 검색 형식의 예는 다음과 같습니다. "주목할 만한"|search source="액세스 - 무차별 암호 대입 공격 행동 탐지됨 - 규칙".
3. 주목할 만한 이벤트를 확장하고 필드 열에서 임포트할 필드를 선택합니다.
  
  이러한 필드는 익스포트되어 인스턴스의 매핑 페이지에 Now Platform® 표시되는 필드-값 쌍입니다.
4. Splunk Enterprise 콘솔에서 Search(검색) 페이지의 오른쪽 위에 있는 Export(내보내기) 아이콘을 클릭합니다.
5. 표시되는 대화 상자의 형식 필드에 대한 선택 목록에서 XML 형식을 클릭합니다.
6. 옵션: 새 파일 이름을 입력합니다.
7. 익스포트를 클릭합니다.
  
  익스포트 Splunk 한 주목할 만한 이벤트 XML 파일을 이제 인스턴스에 업로드해야 합니다 Now Platform® .
8. 매핑 페이지가 인스턴스에 아직 표시되지 Now Platform® 않은 경우 진행률 표시줄에서 매핑을 클릭합니다.
9. Notable Event Sample Ingestion 열에서 Load Attachment Data를 클릭합니다.
10. 표시되는 대화상자에서 Choose files(파일 선택 )를 클릭하고 내보낸 .xml 파일로 이동한 후 Open(열기)을 클릭합니다.
  수동으로 전달된 이벤트에 Splunk ES 대한 첨부 파일 데이터를 클릭하여 로드하면 양식 왼쪽에 중요 이벤트 필드가 채워집니다. 이러한 값은 양식의 Sir 인시던트 필드 매핑 측면에 있는 보안 인시던트 필드에 매핑하는 필드 값입니다.
  
  이벤트에 대해 익스포트한 필드의 값 쌍이 매핑 양식의 왼쪽에 표시됩니다.
이 주목할 만한 이벤트 인시던트 검토 및 기여 이벤트 상세 정보에 대한 Splunk ES 매핑 생성(예약된 수집) 섹션의 5-10단계를 수행합니다.

중요 이벤트 수집 통합을 위한 수동 이벤트 수집을 Splunk Enterprise Security 위한 환경 설정 Splunk

이 통합을 위해 콘솔에서 ServiceNowSplunk Enterprise Security 수동 및 요청 시 이벤트를 익스포트하려면 엔터프라이즈 콘솔 또는 Splunk Cloud 인스턴스에 Security Operations Event Ingestion Addon for Splunk Enterprise Security Application Splunk 을 설치하고 설정합니다.

시작하기 전에

엔터프라이즈 콘솔 또는 Splunk Cloud 인스턴스에서 ServiceNowSplunk 애플리케이션용 Splunk Enterprise Security Security Operations Event Ingestion Addon 설치 및 설정은 선택 사항입니다.

수동 이벤트 수집에 필요한 Splunkbase에서 애드온 플러그인을 설치하기 전에 이 통합 ServiceNow Store 용 애플리케이션을 설치했는지 확인합니다. 에서 통합을 ServiceNow Store위한 애플리케이션을 설치하지 않은 경우 을 참조 중요 이벤트 수집 통합을 위한 Splunk Enterprise Security 애플리케이션 설치 및 구성 ServiceNow 하고 지침에 따라 설치합니다.

필요한 역할: Splunk Enterprise Security 관리자

이 태스크 정보

통합을 위해 콘솔에서 Splunk Enterprise 수동 및 요청 시 이벤트를 익스포트하려면 콘솔에서 Splunk Enterprise Security splunkbase용 Security Operations 이벤트 수집 애드온을 ServiceNowSplunk Enterprise Security 다운로드, 설치 및 설정합니다. 이 ServiceNow 확장 추가 기능은 인스턴스에서 수동으로 내보낸 이벤트에서 보안 인시던트를 생성할 수 Now Platform 있도록 하는 데 필요합니다. 이 ServiceNow 애플리케이션용 Splunk Enterprise Security 보안 운영 이벤트 수집 애드온은 splunkbase에서 사용할 수 있습니다.

수동 이벤트 전달의 경우 콘솔에서 최대 두 개의 서로 다른 Now Platform 엔드포인트(인스턴스)를 식별할 수 있습니다 Splunk Enterprise Security . 이벤트를 엔드포인트에 수동으로 전달하여 보안 인시던트를 생성합니다. 예를 들어 스테이징(개발) 인스턴스와 프로덕션 인스턴스를 모두 지정할 수 있습니다. 별도의 인스턴스를 지정하고 각 인스턴스의 기본 및 보조 워크플로우 이름을 지정하여 서로 다른 이벤트를 전달할 위치를 선택할 수 있습니다.

프로시저

용 Splunk Enterprise SecuritySecurity Operations 이벤트 수집 추가 기능을 아직 설치 ServiceNow 하지 않은 경우 다음 단계에 따라 설치하고 구성합니다.
1. splunkbase로 이동합니다.
2. ServiceNow 보안 운영 에 대한 Security Operations 이벤트 수집 애드온을 Splunk Enterprise Security검색합니다.
  
  주:
  에 대해 Event Ingestion Addon을 Splunk Enterprise Security선택 ServiceNow 보안 운영 했는지 확인합니다. 이 목록에 표시되는 추가 ServiceNow 애드온이 있습니다. 이러한 애드온은 서로 다른 ServiceNow Splunk 통합을 위한 것이며 이 통합에는 필요하지 않습니다.
3. 애플리케이션을 다운로드합니다.
4. Splunk Enterprise Security 계정을 엽니다.
5. Apps(앱) 페이지에서 톱니바퀴 아이콘 또는 메뉴 드롭다운 목록의 Manage Apps(앱 관리 ) 바로 가기를 클릭합니다.
6. 표시되는 Apps(앱) 페이지의 왼쪽 상단에서 Install app from file(파일에서 앱 설치)을 클릭합니다.
7. Choose File(파일 선택)을 클릭하고 Security Operations Event Ingestion Addon for Splunk Enterprise Security을 선택한 ServiceNow 다음 Upload(업로드)를 클릭합니다.
8. 메시지가 표시되면 을 다시 시작합니다 Splunk Enterprise.
  ServiceNow Security Operations 이벤트 수집 추가 기능이 Splunk Enterprise Security 콘솔에 설치되어 있습니다Splunk Enterprise Security. 애드온을 설정하는 다음 단계입니다.

애드온을 설정하려면 다음 단계를 따르세요.

에서 Splunk Enterprise Security앱 기어 아이콘 또는 메뉴 드롭다운 목록에서 앱 관리를 클릭합니다.
표시되는 애플리케이션 목록의 Actions(작업 ) 열에서 Set up for ServiceNow 보안 운영 Event Ingestion Addon for Splunk Enterprise Security을 클릭합니다.
양식을 작성합니다.

다음 그림은 콘솔에서 Splunk Enterprise Security 완성된 폼의 예입니다.

ServiceNow 기본 인스턴스 지정 섹션의 필드	설명
워크플로우 작업 레이블	프로덕션(기본) 인스턴스에 대한 워크플로우의 Now Platform 이름입니다. 이 이름은 이벤트를 모니터링 Splunk 하는 사용자가 기본 인스턴스로 식별하는 인스턴스의 Now Platform 이름입니다(예: ServiceNow 이벤트 수집(프로덕션)). 이 필드의 기본값은 ServiceNow 이벤트 수집(프로덕션)입니다. Splunk Enterprise Security 콘솔에서 이 워크플로우 이름은 검색의 확장된 `이벤트 작업(Event Actions`) 드롭다운 목록에 프로덕션(기본) 인스턴스에 대해 표시됩니다. 이 이름은 프로덕션 인스턴스의 이름입니다. 이름을 편집할 수 있습니다.
URL	앞의 워크플로우 작업 레이블 필드에 입력한 인스턴스의 Now Platform URL입니다. 브라우저에서 URL을 복사하여 양식의 이 필드에 붙여넣습니다.
엔드포인트	기본 API 경로입니다. 자세한 내용은 다음 표를 참조하십시오. 프로덕션 인스턴스의 엔드포인트 Now Platform 에 대한 값이 없는 경우 다음 단계를 수행합니다. Now Platform 시스템 관리자(admin) 역할을 가진 사용자로 프로덕션 인스턴스에 로그인합니다. 탐색 패널에 `스크립팅된 REST API` 를 입력합니다. 탐색 패널을 새로 고친 후 표시되는 스크립트 기반 REST API 모듈을 선택합니다. 표시되는 `스크립팅된 REST API` 목록의 이름 열에 이벤트 수집이 나열되지 않은 경우 맨 위에 있는 검색 필드에 `이벤트 수집`을 입력합니다. 새로 고침한 페이지의 기본 API 경로 열에서 이 값을 복사하여 양식의 엔드포인트 필드에 붙여 넣습니다. 기본 API 경로의 예는 `/api/sn_sec_splunk_v2/event_ingestion`입니다.
사용자 이름	인스턴스의 Now Platform 사용자 이름입니다. 이 이름은 수동 이벤트 전달을 위해 사용자에게 (sn_sec_splunk_v2.api_account_access) 역할을 할당한 인스턴스의 Now Platform 사용자 이름입니다. 이 역할 할당에 대한 자세한 내용은 다음 문서를 참조하십시오 통합을 위한 Splunk Enterprise Event Ingestion 인스턴스 설정 Now Platform.
암호	인스턴스의 암호입니다 Now Platform . 이 암호는 수동 이벤트 전달을 위해 사용자에게 (sn_sec_splunk_v2.api_account_access) 역할을 할당한 인스턴스의 Now Platform 암호입니다.
(선택 사항) ServiceNow 보조 인스턴스 지정 섹션의 필드	설명 이러한 필드는 선택 사항입니다. 보조 인스턴스를 지정할 필요는 없습니다.
워크플로우 작업 레이블	Now Platform 보조(스테이징) 인스턴스의 워크플로우 이름입니다. 이 이름은 이벤트를 모니터링 Splunk 하는 사용자가 보조 인스턴스로 식별하는 인스턴스의 Now Platform 이름입니다(예: ServiceNow 이벤트 수집(스테이징)). Splunk Enterprise Security 콘솔에서 이 워크플로우 이름은 검색의 확장된 이벤트 작업(Event Actions) 드롭다운 목록에서 스테이징(보조) 인스턴스에 대해 표시됩니다. 이 Now Platform 인스턴스가 스테이징 인스턴스입니다. 이름을 편집할 수 있습니다.
URL	보조 Now Platform 인스턴스의 이전 워크플로우 작업 레이블 필드에 입력한 인스턴스의 Now Platform URL입니다. 브라우저에서 URL을 복사하여 양식의 이 필드에 붙여넣습니다.
엔드포인트	기본 API 경로입니다. 보조 인스턴스의 기본 API 경로에 대한 이 값은 기본 인스턴스의 기본 API 경로와 동일한 값입니다. 자세한 내용은 양식의 이전 그림을 참조하십시오.
사용자 이름	스테이징 인스턴스의 Now Platform 사용자 이름입니다. 사용자에게 (sn_sec_splunk_v2.api_account_access) 역할이 있어야 합니다.
암호	스테이징 인스턴스의 암호입니다 Now Platform . 사용자에게 (sn_sec_splunkes.api_account_access) 역할이 있어야 합니다.

다음 그림은 에 있는 Now Platform스크립팅된 REST API 목록의 예입니다. 목록에는 콘솔에서 Security Operations Event Ingestion Addon for Splunk Enterprise Security 확장 Splunk Enterprise Security 설정 ServiceNow 의 일부로 양식에 입력하는 인스턴스의 Now Platform 엔드포인트 값 위치가 표시됩니다.
기본 API 경로가 강조 표시됨.

콘솔의 설정 양식 Splunk Enterprise Security 에서 Save(저장 )를 클릭하여 편집 내용을 저장합니다.

잠시 후 콘솔의 양식 Splunk Enterprise Security 왼쪽 위에 기록이 성공적으로 업데이트되었다는 메시지가 표시됩니다.

양식을 저장하면 콘솔에서 선택한 검색 Splunk Enterprise Security 이벤트의 이벤트 작업 선택 목록에서 양식에서 생성한 인스턴스의 이름(워크플로우 작업 레이블Now Platform)을 사용할 수 있습니다.

다음에 수행할 작업

콘솔에 Splunk Enterprise Security 검색 내용을 아직 저장하지 않은 경우 다음 단계는 콘솔에 Splunk Enterprise Security 검색 내용을 경고로 저장하는 것입니다.