통합을 위해 콘솔 Splunk Enterprise Event IngestionSplunk Enterprise 검색 저장

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 2분

    • 콘솔에 Splunk Enterprise 검색을 저장하기 위한 다음 단계는 관리자 역할을 가진 Splunk Enterprise 사용자에게 제공됩니다.

    시작하기 전에

    콘솔에 Splunk Enterprise 기존에 저장된 검색과 트리거된 경보가 이미 있는 경우에는 이 통합에 대해 이러한 검색을 수정할 필요가 없습니다.

    제품을 이벤트 알림 서비스와 통합 Now Platform® 보안 운영 하면 Splunk 에서 이벤트 및 경보 정보를 Splunk가져옵니다.

    환경에 경보 보안 운영 를 수집하기 전에 경보로 저장하려는 관련 보안 이벤트를 Splunk Enterprise 자동으로 끌어오도록 콘솔에서 Splunk Enterprise 검색을 구성합니다.

    콘솔에서 Splunk Enterprise 중요한 보안 이벤트가 발생할 때 알림을 위해 설정된 저장된 검색 및 트리거된 경고가 없는 경우 다음 단계에 따라 검색을 저장합니다.

    필요한 역할: Splunk Enterprise 관리자

    프로시저

    1. Splunk Enterprise 계정에 로그인합니다.
    2. 검색 탭을 클릭합니다.
    3. 표시되는 새 검색 필드에 경보 값(예: 맬웨어)을 입력합니다.
    4. 검색과 관련된 이벤트를 보려면 새 검색 필드 오른쪽에서 검색 아이콘을 클릭하거나 Enter 키를 누릅니다.
      이벤트가 있는 검색 결과가 표시됩니다.
    5. 검색을 경고로 저장하려면 페이지 오른쪽 상단에서 다른 이름으로 저장 선택 목록을 확장하고 경고를 선택합니다.
    6. 표시되는 양식의 필드에 내용을 입력합니다.
      필드설명
      제목 경보를 설명하는 이름(예: 맬웨어 이벤트)입니다. 이 검색을 경보로 저장하면 서비스에서 발생한 경보 Splunk 의 이벤트가 이 검색 데이터를 사용하여 트리거된 경보로 자동 처리됩니다. 이 트리거된 경보 제목은 인스턴스에 생성하는 Now Platform 이벤트 프로파일에서 보안 인시던트 생성을 위해 Now Platform® 보안 인시던트 응답 SIR 인스턴스로 수집되는 이벤트를 식별하는 데 사용됩니다.
      (선택 사항) 묘사 이 경보를 다른 경보와 구분하는 데 도움이 되는 텍스트입니다.
      경보 유형 표시되는 필드에서 예약 됨을 선택하여 일정에 따라 이 경보를 검색하고, 이 경보를 지속적으로 검색하려면 실시간을 선택합니다.
      트리거 결과 다음 필터 조건 중 하나를 설정하는 것이 좋습니다.
      • 결과 수가 다음보다 크거나 작음
      • 각 결과에 대해 1회(1회)
      트리거 작업 이 경보를 트리거할 작업을 추가합니다. 선택 추가 목록을 확장하고 트리거된 경보에 추가 를 클릭하여 양식에 표시합니다. 인스턴스로 Now Platform 수집하는 경보에 대해 이 설정을 선호할 수 있습니다.
    7. 저장을 클릭합니다.
      경고가 저장되고 검색 페이지의 경고 탭 아래에 표시됩니다.
      Splunk 서비스는 경보에서 구성한 조건과 일치하여 이벤트를 가져옵니다. 이벤트를 캐시한 다음, 인스턴스에서 Now Platform 설정한 프로파일에서 이러한 이벤트를 요청합니다. 이벤트의 수집 끌어오기는 서비스의 캐시 Splunk 에서 발생하므로 이 Now Platform 수집은 플랫폼 Splunk 의 성능에 영향을 주지 않습니다.

    다음에 수행할 작업

    콘솔에서 통합에 필요한 설정을 성공적으로 완료했습니다 Splunk Enterprise . 에서 ServiceNow Store통합용 애플리케이션을 아직 설치하지 않은 경우 다음 단계는 통합용 애플리케이션을 설치하고 구성하는 것입니다.