Splunk 데이터 소스에 연결

온라인 편집

Splunk 데이터 소스를 플랫폼에 연결하여 애플리케이션 및 대시보드에서 Splunk 보안 데이터를 수집하고 분석할 수 있도록 하십시오. Universal Data Insights 커넥터를 사용하면 보안 제품 전체에서 연합 검색을 사용할 수 있습니다.

시작하기 전에

소프트웨어를 설치할 수 있는 관리자와 협업하여 데이터 소스 사용자 이름 및 비밀번호, IP 주소와 필요한 기타 정보를 얻으십시오.

클러스터와 데이터 소스 대상 사이에 방화벽이 있는 경우 IBM® Security Edge Gateway 를 사용하여 컨테이너를 호스팅하십시오. Edge Gateway 는 V1.6 이상이어야 합니다. 자세한 정보는 Edge Gateway 설정을 참조하십시오.

Splunk Cloud를 사용하는 경우 REST API와 통신하고 액세스할 수 있는지 확인해야 합니다. REST API에 대한 자세한 정보는 REST API 문서 (https://docs.splunk.com/Documentation/SplunkCloud/latest/RESTTUT/RESTandCloud) 를 참조하십시오.
참고: 올바른 포트를 사용 중인지 확인하고 (Splunk Cloud는 Splunk Enterprise와 동일한 포트를 사용할 수 없음) 연결 디바이스 IP 주소를 Splunk Clouds 허용 목록에 추가하십시오.

이 태스크에 대한 정보

Splunk 커넥터는 search/jobs API 엔드포인트를 사용하여 Splunk Enterprise 9.0.0 - 9.2.0 과 함께 작동하도록 설계되었습니다. search/jobs API 엔드포인트에 대한 자세한 정보는 search/jobs API 문서 (https://docs.splunk.com/Documentation/Splunk/9.2.0/RESTTUT/RESTsearches) 를 참조하십시오.

STIX (Structured Threat Information eXpression ) 는 조직이 사이버 위협 인텔리전스를 교환하는 데 사용하는 언어 및 직렬화 형식입니다. Splunk 커넥터는 STIX 패턴화를 사용하여 Splunk 데이터를 조회하고 결과를 STIX 오브젝트로 리턴합니다. Splunk 데이터 스키마를 STIX에 맵핑하는 방법에 대한 자세한 정보는 Splunk STIX 맵핑 (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/splunk_supported_stix.md) 을 참조하십시오.

프로시저

  1. 메뉴 > 연결 > 데이터 소스로 이동하십시오.
  2. 데이터 소스 탭에서 데이터 소스 연결을 클릭하십시오.
  3. Splunk를 클릭한 후 다음을 클릭하십시오.
  4. 데이터 소스에 대한 연결을 구성하십시오.
    1. 데이터 소스 이름 필드에서 데이터 소스 연결을 고유하게 식별하는 이름을 지정하십시오.
      데이터 소스에 복수의 연결 인스턴스를 작성하여 이름별로 명확하게 구분하는 것이 좋습니다. 영숫자 문자 및 다음 특수 문자가 허용됩니다. - . _
    2. 데이터 소스 설명 필드에 데이터 소스 연결의 목적을 표시하는 설명을 작성하십시오.
      데이터 소스에 복수의 연결 인스턴스를 작성하여 설명을 통해 각 연결의 용도를 명확하게 나타낼 수 있습니다. 영숫자 문자 및 다음 특수 문자가 허용됩니다. - . _
    3. 클러스터와 데이터 소스 대상 사이에 방화벽이 있는 경우 Edge Gateway 를 사용하여 컨테이너를 호스팅하십시오. 에지 게이트웨이 (선택사항) 필드에서 사용할 Edge Gateway 를 지정하십시오.
      커넥터를 호스트할 Edge Gateway 를 선택하십시오. Edge Gateway 에서 새로 배치된 데이터 소스 연결의 상태가 연결됨으로 표시되는 데 최대 5분이 걸릴 수 있습니다.
    4. 관리 IP 주소 또는 호스트 이름 필드에서 플랫폼이 통신할 수 있도록 데이터 소스의 호스트 이름 또는 IP 주소를 설정하십시오.
    5. 호스트 포트 필드에서 데이터 소스 호스트와 연관된 포트 번호를 설정하십시오.
  5. 데이터 소스에서 검색 조회의 동작을 제어하는 조회 매개변수를 설정하십시오.
    1. 동시 검색 한계 필드에서 데이터 소스에 대해 작성할 수 있는 동시 연결 수를 설정하십시오. 연결 수의 기본 한계는 4입니다. 이 값은 1보다 작거나 120보다 커서는 안됩니다.
    2. 조회 검색 제한시간 한계 필드에서 데이터 소스에 대해 조회가 실행되는 기간에 대한 시간 한계 (분) 를 설정하십시오. 기본 시간 제한은 30입니다. 값이 0으로 설정되면 시간 초과가 없습니다. 이 값은 1보다 작거나 120보다 커서는 안됩니다.
    3. 결과 크기 한계 필드에서 검색 조회에서 리턴되는 최대 항목 또는 오브젝트 수를 설정하십시오. 기본 결과 크기 제한은 10,000입니다. 값은 1보다 작거나 500 ,000보다 크지 않아야 합니다.
    4. 조회 시간 범위 필드에서 마지막 상태된 X 분으로 표시되는 검색 시간 범위를 분 단위로 설정하십시오. 기본값은 5분입니다. 이 값은 1보다 작거나 10,000보다 커서는 안됩니다.
    중요: 동시 검색 한계 및 결과 크기 한계를 늘리면 데이터 소스에 더 많은 양의 데이터를 전송할 수 있으며, 이는 데이터 소스에 대한 부담을 증가시킵니다. 쿼리 시간 범위를 늘리면 데이터의 양도 늘어납니다.
  6. 선택사항: Splunk 가 자체 서명된 SSL (Security Sockets Layer) 인증서로 구성된 경우 연결 인증서를 추가하십시오.

    기본적으로 Splunk 인증서는 <splunk_home_directory>/splunk/etc/auth/server.pem에서 사용 가능합니다. 여기서 < splunk_home_directory>Splunk 가 설치된 위치의 경로입니다.

    1. SNI (Server Name Indication), SplunkServerDefaultCert를 제공하십시오. SNI는 자원 연결의 TLS(Transport Layer Security) 핸드쉐이크에 별도의 호스트 이름을 제공할 수 있도록 해줍니다.
    2. 인증서 세부사항을 복사하여 제공된 공간에 붙여넣은 후 완료를 클릭하십시오.
  7. 선택사항: STIX 속성 맵핑을 사용자 정의해야 하는 경우 속성 맵핑 사용자 정의 를 클릭하고 JSON BLOB를 편집하여 새 특성 또는 기존 특성을 연관된 대상 데이터 소스 필드에 맵핑하십시오.
  8. ID 및 액세스를 구성하십시오.
    1. 구성 추가를 클릭하십시오.
    2. 구성 이름 필드에 액세스 구성을 설명하고 설정할 수 있는 이 데이터 소스 연결에 대한 다른 액세스 구성과 구별할 수 있는 고유 이름을 입력하십시오. 영숫자 문자 및 다음 특수 문자만 허용됩니다. - . _
    3. 구성 설명 필드에 액세스 구성을 설명하고 설정할 수 있는 이 데이터 소스 연결에 대한 다른 액세스 구성과 구별할 수 있는 고유한 설명을 입력하십시오. 영숫자 문자 및 다음 특수 문자만 허용됩니다. - . _
    4. 액세스 편집 을 클릭하고 데이터 소스에 연결할 수 있는 사용자 및 액세스 유형을 선택하십시오.
    5. 사용자 이름 필드에 검색 API에 대한 액세스 권한이 있는 사용자 이름을 입력하십시오.
    6. 비밀번호 필드에 해당 사용자 이름의 비밀번호를 입력하십시오.
    7. 추가를 클릭하십시오.
    8. 구성을 저장하고 연결을 설정하려면 완료를 클릭하십시오.
    데이터 소스 설정 페이지의 연결에서 추가된 데이터 소스 연결 구성을 확인할 수 있습니다. 카드의 메시지는 데이터 소스와의 연결을 나타냅니다.
    데이터 소스를 추가할 때 데이터 소스가 연결된 것으로 표시되기 전에 몇 분이 걸릴 수 있습니다.
    팁: 데이터 소스를 연결한 후 데이터를 검색하는 데 최대 30초가 걸릴 수 있습니다. 전체 데이터 세트가 리턴되기 전에 데이터 소스가 사용 불가능으로 표시될 수 있습니다. 데이터가 리턴된 후 데이터 소스는 연결된 것으로 표시되고 연결 상태를 유효성 검증하기 위한 폴링 메커니즘이 발생합니다. 연결 상태는 폴링 후 60초동안 유효합니다.

    다른 사용자 및 다른 데이터 액세스 권한이 있는 이 데이터 소스에 대한 다른 연결 구성을 추가할 수 있습니다.

  9. 구성을 편집하려면 다음 단계를 완료하십시오.
    1. 데이터 소스 탭에서 편집할 데이터 소스 연결을 선택하십시오.
    2. 구성 섹션에서 구성 편집 (구성 편집 아이콘) 을 클릭하십시오.
    3. ID및 액세스 매개변수를 편집하고 저장을 클릭하십시오.

다음에 수행할 작업

IBM Security Data Explorer에 대해 쿼리를 실행하여 연결을 테스트하십시오. Data Explorer를 사용하려면 애플리케이션이 통합된 데이터 소스 세트에서 조회를 실행하고 결과를 검색할 수 있도록 연결된 데이터 소스가 있어야 합니다. 검색 결과는 구성된 데이터 소스에 포함된 데이터에 따라 달라집니다. Data Explorer에서 조회를 빌드하는 방법에 대한 자세한 정보는 조회 빌드를 참조하십시오.