# Splunk 대상

## 개요

대상(Destinations)은 룰, 정책, 시스템 상태 알림 및 룰 오류로부터 알러트를 받는 통합 지점입니다. Panther는 알러트를 받을 대상으로 Splunk를 구성하는 것을 지원합니다.

Splunk 사용자로서 Panther 알러트를 Splunk로 전송하면 기존의 분류, 검색 및 수정 워크플로우는 Splunk에서 유지하면서 로그 집합에 대해 Panther의 강력한 Detections-as-Code 기능을 활용할 수 있습니다.

매치된 이벤트(또는 [중복 제거](https://docs.panther.com/ko/detections/rules#deduplication-of-alerts))를 Splunk로 전송되는 알러트에 포함하는 것이 특히 유용할 수 있습니다—특히 매치가 발생한 로그가 Splunk에 저장되어 있지 않은 경우. 이벤트(또는 그 일부)를 다음을 사용하여 포함할 수 있습니다, [`alert_context()` 함수](https://docs.panther.com/ko/detections/rules/python#alert_context) 또는 [`AlertContext` 키](https://docs.panther.com/ko/detections/rules/writing-simple-detections#alertcontext) 를 각각 Python 또는 YAML 디텍션에서 사용하여.

## Splunk를 알러트 대상지로 설정하는 방법

Panther에서 Splunk를 알러트 대상지로 구성하려면 Splunk HTTP Event Collector를 설정하고 인증 토큰을 얻은 다음 Panther에서 대상을 설정해야 합니다.

### 1단계: Splunk에서 HTTP Event Collector 생성

1. Splunk 콘솔에 로그인합니다.
2. 다음 [Splunk 문서를 따라 HTTP Event Collector를 구성하세요](https://docs.splunk.com/Documentation/Splunk/latest/Data/UsetheHTTPEventCollector).
   * Event Collector에 설명적인 **이름**을 지정합니다. 예: `Panther Alerts`.
   * 다른 모든 설정은 선택 사항입니다.
3. HTTP Event Collector의 **토큰 값** 을 마법사의 마지막 화면에서 복사하세요.
   * Panther 알러트 대상을 구성하려면 이 값이 필요합니다.
   * 마법사를 완료한 후에 **토큰 값** 을 참조해야 하는 경우, 다음에서 찾을 수 있습니다 **설정 > 데이터 입력 > HTTP Event Collector**.
4. 다음을 따르세요 [Splunk의 지침에 따라 HTTP Event Collector **URI**](https://docs.splunk.com/Documentation/Splunk/latest/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector)**.**
   * 를 생성하세요. 이 값이 이 절차의 다음 단계에서 필요합니다.
   * 만약 당신이 *유료* 버전의 Splunk Cloud를 사용 중이라면, 다음과 같이 보일 수 있습니다:\
     \&#xNAN;*<https://http-inputs-\\><your-subdomain>.splunkcloud.com:443/services/collector/event*

### 2단계: Panther에서 Splunk 알러트 대상 구성

1. Panther 콘솔에 로그인합니다.
2. 왼쪽 사이드바에서 **구성 > 알러트 대상**.
3. 를 클릭하세요 **+첫 번째 대상 추가**.
   * 이미 대상들을 생성한 경우, **생성 새로 만들기** 페이지 오른쪽 상단에서 클릭하여 새 대상을 추가하세요.
4. 를 클릭하세요 **Splunk**.
5. 대상을 구성하기 위해 양식을 작성하세요:
   * **표시 이름**: 설명적인 이름을 입력하세요.
   * **HTTP Event Collector URL**: 이전 단계에서 생성한 Splunk HTTP Event Collector **URI** 를 입력하세요 [이 문서의](#step-1-create-an-http-event-collector-in-splunk).
   * **인증 토큰:** Splunk에서 구성한 HTTP Event Collector의 **토큰 값** 을 입력하세요.
   * **심각도**: 이 대상지로 전송할 알러트의 심각도 수준을 선택하세요.
   * **알러트 유형**: 이 대상지로 전송할 알러트 유형을 선택하세요.
   * **로그 유형**: 기본적으로 모든 로그 유형의 알러트를 전송합니다. 특정 로그 유형의 알러트만 전송하려면 여기서 로그 유형을 지정하세요.
   * **수동 전송 허용**: 이 토글을 켜면 이 대상지로 [알러트를 수동으로 전송](https://docs.panther.com/alerts#manual-alert-dispatch) 할 수 있습니다.\
     ![A form titled "Configure your Splunk Destination" has various fields, including Display Name, HTTP Event Collector URL, and Auth Token.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-9633f2cea0a70401e8d7e91b4e236dce5e44ead3%2FSplunk%20Alert%20Destination%20Form?alt=media)
6. 를 클릭하세요 **대상 추가**.
7. 마지막 페이지에서 선택적으로 **테스트 알러트 전송** 을 클릭하여 통합을 테스트하세요. 완료되면 **설정 완료**.

## 대상에 대한 추가 정보

알러트 라우팅 순서, 대상 수정 또는 삭제, 워크플로우 자동화에 대한 자세한 내용은 Panther 문서를 참조하세요: [대상](https://docs.panther.com/ko/alerts/destinations).