통합을 위한 Splunk Enterprise Security 인스턴스 설정 Now Platform

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 3분

    • 다음 섹션에는 에서 애플리케이션을 ServiceNow Store설치하기 전에 인스턴스에서 Now Platform® 완료해야 하는 설정 작업이 나열되어 있습니다.

    필요한 역할: admin.

    원활한 설치 및 구성을 위해 애플리케이션을 다운로드하고 설치하기 전에 다음 테이블을 참조하여 나열된 작업을 모두 완료했는지 확인하십시오.

    1. 필수 Now Platform®보안 인시던트 응답 (SIR) 역할이 할당되었는지 확인합니다.

      인스턴스에서 Now Platform® 통합을 설치, 설정 및 사용하려면 다음 역할이 필요합니다.

      • 관리자 역할(admin)의 Now Platform® 사용자는 에서 애플리케이션을 ServiceNow Store 설치하고 보안 인시던트 관리자(sn_si.admin) 역할을 할당합니다.
      • 이 통합에 대해 주목할 만한 이벤트를 수동으로 Splunk Enterprise Security 전달하려는 경우 관리자 sn_sec_splunkesNow Platform®역할을 가진 Now Platform® 사용자가 . 이 역할을 통해 관리자 역할을 가진 Splunk Enterprise Security 사용자는 이 Now Platform® 통합에 대한 수동 이벤트 전달에 필요한 API에 액세스할 수 있습니다.

        중요한 이벤트를 인스턴스에서 Splunk Enterprise SecurityNow Platform® 자동으로 수집하는 경우에는 통합에 (sn_sec_splunkes.api_account_access) 역할이 필요하지 않습니다.

      • sn_si.admin 역할을 가진 사용자는 다음에서 Now Platform®다음 작업을 감독합니다
        • . 이벤트 프로파일의 이름을 지정하고, 만들고, 편집합니다.
        • 값을 선택하고 보안 인시던트에 Splunk Enterprise Security 매핑합니다 Now Platform® .
        • 구성을 완료하기 전에 정확성을 위해 보안 인시던트 상세 정보를 미리 봅니다.
        • 진행 중인 주목할 만한 이벤트 수집을 예약합니다.
        • SIR 인시던트가 생성되고 종결되면 중요 이벤트 업데이트를 활성화합니다.
        • 보안 인시던트 분석가(sn_si.analyst) 역할을 할당합니다.
        • sn_si.analyst 역할을 가진 사용자는 보안 인시던트에 대한 작업을 수행합니다.

      자세한 내용은 다음 문서를 참조하십시오 Managing roles.

    2. 사용자 역할을 할당합니다 Splunk .

      에서 Splunk 보안 분석가(ess_analyst) 사용자 역할 할당 ES는 서버에서 모든 통합 관련 활동을 Splunk 수행합니다.

    3. 버전 7.2.6 이상의 API를 Splunk 사용하고 있는지 확인합니다. 이전 버전은 지원되지 않습니다.

      콘솔에 Splunk Enterprise Security 액세스할 수 있는 경우 이 통합에 필요한 API에 액세스할 수 있습니다. API에 필요한 다른 특수 설정은 없습니다.

    4. MID 서버를 설치 및 구성했는지 확인하십시오.

      Now Platform® 서버가 회사 네트워크 내에 배포된 경우 서비스에 연결 Splunk 하려면 인스턴스의 Splunk A MID 서버 가 필요합니다. 자세한 내용은 MID 서버를 참조하십시오.

      클라우드 서비스를 사용하는 Splunk Enterprise Security 경우에는 필요하지 MID 서버 않습니다.

    5. ServiceNow 통합을 지원하는 데 필요한 핵심 애플리케이션이 설치되고 활성화되었는지 확인합니다.

      의존성 플러그인(com.snc.si_dep)이 보안 인시던트 응답 필요합니다. 이 플러그인은 제품을 지원하는 보안 인시던트 응답 데 필요한 모든 종속성을 자동으로 설치합니다. 통합에 필요한 다른 보안 운영 애플리케이션을 설치하고 활성화하기 전에 이 플러그인을 설치하고 활성화합니다.

      다음 보안 운영 응용 프로그램이 에서 설치 및 활성화 ServiceNow Store되어 있는지 확인합니다. 설치되지 않은 경우 원활한 설치를 위해 다음 순서로 한 번에 하나의 애플리케이션을 설치하고 활성화하십시오.

      1. Security Incident Response
      2. 보안 통합 프레임워크
      3. 보안 지원 공통

      핵심 애플리케이션 설치 보안 운영 에 대한 자세한 내용은 해당 문서를 참조하십시오.

    통합을 위한 인스턴스를 성공적으로 설정했습니다 Now Platform® . 다음 단계는 통합을 위해 에서 주목할 만한 이벤트 수집 애플리케이션을 ServiceNow Store 설치하는 Splunk Enterprise Security 것입니다. 자세한 내용은 중요 이벤트 수집 통합을 위한 Splunk Enterprise Security 애플리케이션 설치 및 구성 ServiceNow 문서를 참조하십시오.

    통합을 위해 콘솔에서 Splunk Enterprise Security 중요 이벤트를 수동 및 요청 시 익스포트하려면 자세한 내용을 참조하십시오 중요 이벤트 수집 통합을 위한 수동 이벤트 수집을 Splunk Enterprise Security 위한 환경 설정 Splunk .