# Splunk 대상

## 개요

대상은 룰, 정책, 시스템 상태 알림 및 룰 오류로부터 알림을 받는 통합입니다. Panther는 Splunk를 알림을 수신할 대상로 구성하는 것을 지원합니다.

Splunk 사용자로서 Panther 알림을 Splunk로 전송하면 기존의 분류, 검색 및 대응 워크플로를 Splunk에서 유지하면서 로그 집합에 대해 Panther의 강력한 Detections-as-Code 기능을 활용할 수 있습니다.

일치하는 이벤트(또는 첫 번째 일치 이벤트, 다음을 사용하는 경우)를 포함하는 것이 특히 유용할 수 있습니다 [중복 제거](https://docs.panther.com/ko/detections/rules#deduplication-of-alerts)) Splunk로 보낸 알러트에 포함하세요—특히 매칭이 이루어진 로그가 Splunk에도 저장되어 있지 않은 경우에는 더욱 그렇습니다. 이벤트(또는 그 하위 집합)는 다음을 사용하여 포함할 수 있습니다. [`알러트_context()` 함수](https://docs.panther.com/ko/detections/rules/python#alert_context) 또는 [`알림 컨텍스트` 키](https://docs.panther.com/ko/detections/rules/writing-simple-detections#alertcontext) 각각 Python 또는 YAML 디택션에서.

## Splunk를 알러트 대상로 설정하는 방법

Panther에서 Splunk를 알러트 대상으로 구성하려면, Splunk HTTP Event Collector를 설정하고, 인증 토큰을 받은 다음, Panther에서 대상을 설정해야 합니다.

### 1단계: Splunk에서 HTTP Event Collector 만들기

1. Splunk 콘솔에 로그인합니다.
2. 다음을 따르세요 [HTTP Event Collector를 구성하기 위한 Splunk 문서](https://docs.splunk.com/Documentation/Splunk/latest/Data/UsetheHTTPEventCollector).
   * Event Collector에 설명적인 **이름**을 사용하는 경우처럼 `Panther 알러트`.
   * 다른 모든 설정은 선택 사항입니다.
3. HTTP Event Collector의 **토큰 값** 를 마법사의 마지막 화면에서 복사합니다.
   * Panther 알러트 대상지를 구성하려면 이 정보가 필요합니다.
   * 다음을 참조해야 하는 경우 **토큰 값** 마법사를 완료한 후, 다음에서 찾을 수 있습니다 **설정 > 데이터 입력 > HTTP 이벤트 수집기**.
4. 다음을 따르세요 [HTTP 이벤트 수집기를 생성하기 위한 Splunk의 지침 **URI**](https://docs.splunk.com/Documentation/Splunk/latest/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector)**.**
   * 이 정보는 이 과정의 다음 단계에서 필요합니다.
   * 다음을 사용 중인 경우 *유료* 버전의 Splunk Cloud에서는 다음과 같이 보일 수 있습니다:\
     \&#xNAN;*<https://http-inputs-\\><your-subdomain>.splunkcloud.com:443/services/collector/event*

### 2단계: Panther에서 Splunk 알러트 대상 구성

1. Panther 콘솔에 로그인합니다.
2. 왼쪽 사이드바에서 다음을 클릭합니다 **구성 > 알러트 대상**.
3. 클릭 **+첫 번째 대상 추가**.
   * 이미 대상을 만든 적이 있다면 다음을 클릭합니다 **새로 만들기** 페이지 오른쪽 상단에서 새 대상을 추가합니다.
4. 클릭 **Splunk**.
5. 대상을 구성하려면 양식을 작성하세요:
   * **표시 이름**: 설명적인 이름을 입력하세요.
   * **HTTP Event Collector URL**: Splunk HTTP Event Collector를 입력하세요 **URI** 다음에서 생성한 [이 문서의 이전 단계](#step-1-create-an-http-event-collector-in-splunk).
   * **인증 토큰:** 다음을 입력하세요 **토큰 값** Splunk에서 구성한 HTTP Event Collector에서 가져옵니다.
   * **Severity**: 이 대상(Destination)으로 보낼 알러트의 심각도 수준을 선택하세요.
   * **알러트 유형**: 이 대상지로 보낼 알러트 유형을 선택하세요.
   * **Log Type**: 기본적으로 모든 로그 유형에서 알러트를 보냅니다. 특정 로그 유형의 알러트만 보내려면 여기에서 로그 유형을 지정하세요.
   * **수동 배포 허용**: 다음을 할 수 있도록 하려면 이 토글을 켜세요. [알러트를 수동으로 배포](https://docs.panther.com/alerts#manual-alert-dispatch) 이 대상지로.\
     ![A form titled "Configure your Splunk Destination" has various fields, including Display Name, HTTP Event Collector URL, and Auth Token.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-9633f2cea0a70401e8d7e91b4e236dce5e44ead3%2FSplunk%20Alert%20Destination%20Form?alt=media)
6. 클릭 **대상지 추가**.
7. 마지막 페이지에서 선택적으로 다음을 클릭하세요. **테스트 알러트 보내기** 통합을 테스트합니다. 완료되면 다음을 클릭하세요. **를 참조하세요.**.

## 대상지에 대한 추가 정보

알러트 라우팅 순서, 대상지 수정 또는 삭제, 워크플로 자동화에 대한 자세한 내용은 Panther 문서를 참조하세요: [대상지](https://docs.panther.com/ko/alerts/destinations).