Splunk Enrichment 통합은 로그를 검색하고 관련 사이팅 정보를 추가합니다.
시작하기 전에
Splunk 검색을 사용하려면 먼저 ServiceNow Store에서 다운로드해야 합니다.
필요한 역할: sn_sec_tisc.admin
- Splunk Search 통합을 사용하려면 Threat Intelligence Security Center 플러그인을 설치하고 활성화해야 합니다.
- Splunk 및 Splunk 검색을 가져오고 Splunk 인스턴스에서 API 기본 URL, 링크 URL, 사용자 이름 및 암호를 가져옵니다.
프로시저
-
인스턴스를 사용하여 Threat Intelligence Security Center에 액세스합니다.
-
다음에서 통합 다운로드 ServiceNow Store.
-
설치가 완료되면 .
-
선택 .
-
또는 다음으로 이동할 수 있습니다.
구성된 통합은 일련의 카드로 나타납니다.
-
Splunk 검색 카드에서 새 보강 구성을 클릭하여 Splunk 검색 통합을 구성합니다.
-
새 보강 구성 양식의 필드에 내용을 입력합니다.
표 1. 보강 통합
| 필드 |
설명 |
| 이름 |
사이팅 검색 구성의 이름을 입력합니다. |
| 벤더 이름 |
벤더의 이름입니다. 선택한 벤더의 상세 정보가 기본적으로 채워집니다. 예: Splunk. |
| 통합 유형 |
선택한 통합의 유형입니다. 예: 위협 조회. |
| 설명 |
Splunk 통합에 대한 설명을 입력합니다. 예를 들어 Splunk 보강 통합은 Splunk 배포에서 잠재적으로 악의적인 표시기와 관련된 로그 쿼리를 지원함으로써 옵저버블을 조사하는 데 도움이 됩니다. |
| 통합 구성 |
| Splunk API 기준 URL |
Splunk 사이트에서 가져온 기본 URL입니다. |
| 링크 URL |
[선택 사항] 사용 가능한 경우 Splunk 웹 인터페이스로 연결되는 링크 URL입니다. |
| 사용자 이름 |
귀하의 인텔 Elasticsearch 사용자 이름입니다. |
| 암호 |
인텔 Elasticsearch 암호입니다. |
| 최대 행 수 |
검색할 행의 최대 수입니다. |
| 가장 빠른 결과(일) |
일수 단위로 보려는 가장 빠른 결과입니다. |
| 검색 결과에 원시 데이터 샘플 포함 |
사이팅 검색 결과에 원시 데이터 샘플을 포함하려면 이 항목을 선택합니다. 반환되는 데이터의 양은 보안 인시던트 응답 속성의 원시 데이터 속성 행 수 설정에 따라 달라집니다. |
| 직접 배포 |
온-프레미스 배포 환경. |
| MID 서버 |
활성 MID 서버를 사용하려면 any를 선택하거나 특정 MID 서버 이름을 선택합니다. |
주: 이 통합을 구성하면 워크플로우가 활성화됩니다. 워크플로우를 관리하려면 워크플로우 편집기로 이동합니다.
-
저장을 클릭합니다.
통합 상세 정보가 확인되고 기본적으로 Splunk 통합의 상태가 비활성화됩니다.
-
사용을 클릭하여 Splunk 통합을 사용하도록 설정합니다.
결과
Splunk가 구성되면 Threat Intelligence Security Center에서 옵저버블에 대한 사이팅 검색을 수행하도록 Splunk를 선택할 수 있습니다.