search
Knowledge BaseRelease NotesRequest Demo

Splunk 대상(베타)

Panther 콘솔에서 Splunk를 알러트 대상으로 구성하기

hashtag
개요

circle-info

Splunk 알러트 대상은 Panther 버전 1.92부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 리포트나 기능 요청은 Panther 지원팀에 공유해 주세요.

대상(Destinations)은 룰, 정책, 시스템 상태 알림 및 룰 오류로부터 알러트를 수신하는 통합입니다. Panther는 알러트를 수신할 대상로 Splunk를 구성하는 것을 지원합니다.

Splunk 사용자로서 Panther 알러트를 Splunk로 전송하면 Panther의 강력한 Detections-as-Code 기능을 로그 집합에 적용하는 동시에 기존의 Splunk에서의 트리아지, 검색 및 대응 워크플로를 유지할 수 있습니다.

일치한 이벤트(또는 중복 제거)를 Splunk로 전송되는 알러트에 포함하는 것이 특히 유용할 수 있습니다 — 특히 일치가 발생한 로그가 Splunk에 저장되어 있지 않은 경우에 그렇습니다. 이벤트(또는 그 하위 집합)는 alert_context() 함수를 사용하여 인리치먼트 데이터를 동적으로 접근하는 것도 가능합니다. 헤더 행에서 Search 결과 테이블에서 열 제거 AlertContext 를 각각 Python 또는 YAML 디텍션에서 사용하여 포함할 수 있습니다.

hashtag
Splunk를 알러트 대상으로 설정하는 방법

Panther에서 Splunk를 알러트 대상으로 구성하려면 Splunk HTTP Event Collector를 설정하고 인증 토큰을 얻은 다음 Panther에서 대상을 설정해야 합니다.

hashtag
1단계: Splunk에서 HTTP Event Collector 생성

  1. Splunk 콘솔에 로그인하세요.

  2. 다음을 따르세요 HTTP Event Collector를 구성하기 위한 Splunk 문서arrow-up-right.

    • Event Collector에 설명적인 이름예:) Panther Alerts.

    • 나머지 설정은 모두 선택 사항입니다.

  3. HTTP Event Collector의 토큰 값 을(를) 마법사의 마지막 화면에서 복사하세요.

    • 이 값은 Panther 알러트 대상을 구성할 때 필요합니다.

    • 마법사를 완료한 후 토큰 값 을(를) 참조해야 하는 경우, 다음 경로에서 찾을 수 있습니다 설정 > 데이터 입력 > HTTP Event Collector.

  4. 다음을 따르세요 HTTP Event Collector 생성을 위한 Splunk의 지침 URIarrow-up-right.

    • 이 값은 이 과정의 다음 단계에서 필요합니다.

    • 만약 당신이 유료 Splunk Cloud 에디션을 사용 중이라면, 다음과 같이 보일 수 있습니다: &#xNAN;https://http-inputs-<your-subdomain>.splunkcloud.com:443/services/collector/event

hashtag
2단계: Panther에서 Splunk 알러트 대상 구성

  1. Panther 콘솔에 로그인하세요.

  2. 왼쪽 사이드바에서 구성 > 알러트 대상.

  3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. +첫 번째 대상 추가.

    • 이미 대상(Destinations)을 생성한 경우, 새로 만들기 페이지 오른쪽 상단에서 새 대상을 추가하려면 클릭하세요.

  4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. Splunk.

  5. 대상 구성을 위해 양식을 작성하세요:

    • 표시 이름: 설명적인 이름을 입력하세요.

    • HTTP Event Collector URL: 생성한 Splunk HTTP Event Collector URI 를(을) 입력하세요 이 문서의 이전 단계.

    • 인증 토큰: 다음 값을 입력하세요: 토큰 값 구성한 Splunk의 HTTP Event Collector에서 가져온 값.

    • 심각도: 이 대상으로 전송할 알러트의 심각도 수준을 선택하세요.

    • 알러트 유형: 이 대상으로 전송할 알러트 유형을 선택하세요.

    • 로그 유형: 기본적으로 모든 로그 유형으로부터의 알러트를 전송합니다. 특정 로그 유형에서만 알러트를 전송하려면 여기서 로그 유형을 지정하세요.

    • 수동 발송 허용: 이 토글을 ON으로 설정하면 이 대상에 대해 알러트를 수동으로 전송arrow-up-right 할 수 있습니다. A form titled "Configure your Splunk Destination" has various fields, including Display Name, HTTP Event Collector URL, and Auth Token.

  6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 대상 추가(Add Destination).

  7. 마지막 페이지에서 선택적으로 클릭하세요 테스트 알러트 전송(Send Test Alert) 통합을 테스트하려면. 완료되면 클릭하세요 설정 완료.

hashtag
대상(Destinations)에 대한 추가 정보

알러트 라우팅 순서, 대상 수정 또는 삭제, 워크플로 자동화에 대한 자세한 내용은 Panther 문서를 참조하세요: 대상(Destinations).

이전Slack 대상(웹훅)다음Tines 대상

마지막 업데이트

도움이 되었나요?