Splunk 대상지

개요

대상(Destinations)은 룰, 정책, 시스템 상태 알림 및 룰 오류로부터 알러트를 받는 통합 지점입니다. Panther는 알러트를 받을 대상으로 Splunk를 구성하는 것을 지원합니다.

Splunk 사용자로서 Panther 알러트를 Splunk로 전송하면 기존의 분류, 검색 및 수정 워크플로우는 Splunk에서 유지하면서 로그 집합에 대해 Panther의 강력한 Detections-as-Code 기능을 활용할 수 있습니다.

매치된 이벤트(또는 중복 제거)를 Splunk로 전송되는 알러트에 포함하는 것이 특히 유용할 수 있습니다—특히 매치가 발생한 로그가 Splunk에 저장되어 있지 않은 경우. 이벤트(또는 그 일부)를 다음을 사용하여 포함할 수 있습니다, alert_context() 함수 또는 AlertContext 키 를 각각 Python 또는 YAML 디텍션에서 사용하여.

Splunk를 알러트 대상지로 설정하는 방법

Panther에서 Splunk를 알러트 대상지로 구성하려면 Splunk HTTP Event Collector를 설정하고 인증 토큰을 얻은 다음 Panther에서 대상을 설정해야 합니다.

1단계: Splunk에서 HTTP Event Collector 생성

1. Splunk 콘솔에 로그인합니다.

2. 다음 Splunk 문서를 따라 HTTP Event Collector를 구성하세요.

   • Event Collector에 설명적인 이름을 지정합니다. 예: Panther Alerts.

   • 다른 모든 설정은 선택 사항입니다.

3. HTTP Event Collector의 토큰 값 을 마법사의 마지막 화면에서 복사하세요.

   • Panther 알러트 대상을 구성하려면 이 값이 필요합니다.

   • 마법사를 완료한 후에 토큰 값 을 참조해야 하는 경우, 다음에서 찾을 수 있습니다 설정 > 데이터 입력 > HTTP Event Collector.

4. 다음을 따르세요 Splunk의 지침에 따라 HTTP Event Collector URI.

   • 를 생성하세요. 이 값이 이 절차의 다음 단계에서 필요합니다.

   • 만약 당신이 유료 버전의 Splunk Cloud를 사용 중이라면, 다음과 같이 보일 수 있습니다: &#xNAN;https://http-inputs-<your-subdomain>.splunkcloud.com:443/services/collector/event

2단계: Panther에서 Splunk 알러트 대상 구성

1. Panther 콘솔에 로그인합니다.

2. 왼쪽 사이드바에서 구성 > 알러트 대상.

3. 를 클릭하세요 +첫 번째 대상 추가.

   • 이미 대상들을 생성한 경우, 생성 새로 만들기 페이지 오른쪽 상단에서 클릭하여 새 대상을 추가하세요.

4. 를 클릭하세요 Splunk.

5. 대상을 구성하기 위해 양식을 작성하세요:

   • 표시 이름: 설명적인 이름을 입력하세요.

   • HTTP Event Collector URL: 이전 단계에서 생성한 Splunk HTTP Event Collector URI 를 입력하세요 이 문서의.

   • 인증 토큰: Splunk에서 구성한 HTTP Event Collector의 토큰 값 을 입력하세요.

   • 심각도: 이 대상지로 전송할 알러트의 심각도 수준을 선택하세요.

   • 알러트 유형: 이 대상지로 전송할 알러트 유형을 선택하세요.

   • 로그 유형: 기본적으로 모든 로그 유형의 알러트를 전송합니다. 특정 로그 유형의 알러트만 전송하려면 여기서 로그 유형을 지정하세요.

   • 수동 전송 허용: 이 토글을 켜면 이 대상지로 알러트를 수동으로 전송 할 수 있습니다.

6. 를 클릭하세요 대상 추가.

7. 마지막 페이지에서 선택적으로 테스트 알러트 전송 을 클릭하여 통합을 테스트하세요. 완료되면 설정 완료.

대상에 대한 추가 정보

알러트 라우팅 순서, 대상 수정 또는 삭제, 워크플로우 자동화에 대한 자세한 내용은 Panther 문서를 참조하세요: 대상.