Splunk 대상(베타)

개요

대상(Destinations)은 규칙, 정책, 시스템 상태 알림 및 규칙 오류로부터 알림을 받는 통합입니다. Panther는 알림을 수신할 대상로 Splunk를 구성하는 것을 지원합니다.

Splunk 사용자로서 Panther 알림을 Splunk로 전송하면 기존의 Splunk 내 조사, 검색 및 복구 워크플로를 유지하면서도 로그 집합에 대해 Panther의 강력한 코드화된 탐지(Detections-as-Code) 기능을 활용할 수 있습니다.

일치한 이벤트(또는 중복 제거)를 Splunk로 보내는 알림에 포함하는 것이 특히 유용할 수 있습니다—특히 일치가 발생한 로그가 Splunk에 저장되어 있지 않은 경우. 이벤트(또는 그 하위 집합)는 alert_context() Python 탐지에서 또는 AlertContext 키 를 각각 Python 또는 YAML 탐지에서 사용하여 포함할 수 있습니다.

Splunk를 알림 대상로 설정하는 방법

Panther에서 Splunk를 알림 대상로 구성하려면 Splunk HTTP Event Collector를 설정하고 인증 토큰을 얻은 다음 Panther에서 대상을 설정해야 합니다.

1단계: Splunk에서 HTTP Event Collector 생성

1. Splunk 콘솔에 로그인하세요.

2. 다음을 따르세요 HTTP Event Collector를 구성하는 Splunk 문서.

   • Event Collector에 설명적인 이름(Name)예: Panther Alerts.

   • 나머지 설정은 모두 선택 사항입니다.

3. HTTP Event Collector의 토큰 값 을 마법사의 마지막 화면에서 복사하세요.

   • 이는 Panther 알림 대상을 구성할 때 필요합니다.

   • 마법사를 완료한 후에 토큰 값 를 참조해야 하는 경우, 다음에서 찾을 수 있습니다 설정 > 데이터 입력 > HTTP Event Collector.

4. 다음을 따르세요 HTTP Event Collector를 생성하기 위한 Splunk의 지침 URI.

   • 이 값은 이 프로세스의 다음 단계에서 필요합니다.

   • 만약 당신이 유료 버전의 Splunk Cloud를 사용 중이라면, 다음과 같이 보일 수 있습니다: &#xNAN;https://http-inputs-<your-subdomain>.splunkcloud.com:443/services/collector/event

2단계: Panther에서 Splunk 알림 대상 구성

1. Panther 콘솔에 로그인하세요.

2. 왼쪽 사이드바에서 구성 > 알림 대상.

3. 클릭 +첫 번째 대상 추가.

   • 이미 대상을 생성한 경우, 새로 만들기 페이지 오른쪽 상단에서 새 대상을 추가하려면 클릭하세요.

4. 클릭 Splunk.

5. 대상을 구성하려면 양식을 작성하세요:

   • 표시 이름 : 설명적인 이름을 입력하세요.

   • HTTP Event Collector URL : 이전 단계에서 생성한 Splunk HTTP Event Collector URI 을(를) 입력하세요. 이 문서의 이전 단계.

   • 인증 토큰: 다음을 입력하세요 토큰 값 은(는) Splunk에서 구성한 HTTP Event Collector의 값입니다.

   • 이 policy 이고 : 이 대상로 보낼 알림의 심각도 수준을 선택하세요.

   • 알림 유형 : 이 대상로 보낼 알림 유형을 선택하세요.

   • 로그 유형 : 기본적으로 모든 로그 유형의 알림을 전송합니다. 특정 로그 유형에서만 알림을 보내려면 여기에서 로그 유형을 지정하세요.

   
6. 클릭 대상 추가.

7. 마지막 페이지에서 선택적으로 테스트 알림 전송 을 클릭하여 통합을 테스트할 수 있습니다. 완료되면 설정 완료.

대상에 대한 추가 정보

알림 라우팅 순서, 대상 수정 또는 삭제, 워크플로 자동화에 대한 자세한 내용은 Panther 문서를 참조하세요: 대상.