Splunk ES에서 설정을 위한 추가 정보
Splunk 엔터프라이즈 보안 설정
이 앱은 Splunk Enterprise Security를 기본적으로 지원합니다. 이 지원은 앱이 검색 헤드에 Splunk ES와 함께 설치되어 있을 때 사용할 수 있습니다.
Splunk ES 기능을 사용하기 위해 필요한 단계
Splunk ES 지원 사용
Splunk의 기록된 미래 메뉴에서 구성을 선택합니다. Splunk ES 지원을 사용하도록 스위치가 활성화되어 있는지 확인합니다.
Splunk ES 내 필수 구성
Splunk ES 기능의 전체 기능을 사용하려면 Splunk Enterprise Security에서 일부 구성을 수행해야 합니다.
- 엔터프라이즈 보안 메뉴 모음에서 구성 → 인시던트 관리 → 인시던트 검토 설정을 클릭합니다.
- "인시던트 검토 - 이벤트 속성" 섹션에서 '새 항목 추가' 버튼을 클릭합니다. 다음 레이블 및 필드 조합을 추가합니다:
| 라벨 | 필드 |
|---|---|
| RF 위험 점수 | RF_A_RISK |
| RF 트리거 규칙 | RF_B_RULES |
| RF 매우 악의적인 증거 | RF_EVIDENCE_CRITICAL |
| RF 악성 증거 | rf_evidence_malicious |
| RF 의심스러운 증거 | rf_evidence_suspicious |
| RF 비정상적인 증거 | rf_evidence_unusual |
- 설치가 완료되면 Splunk 인스턴스를 다시 시작해야 합니다.
-
아직 사용하지 않았다면 "위협 활동 감지됨이라는 엔터프라이즈 보안 상관관계 검색을 사용 설정하세요."
- 엔터프라이즈 보안 메뉴 모음에서 구성 → 콘텐츠 관리를 클릭합니다.
- 필터 표시줄에 "위협 활동 감지됨을 입력합니다."
- 상관관계 검색을 활성화하려면 '사용' 링크를 클릭합니다.
탐지된 이벤트 강화
Splunk ES는 내장된 위협 인텔리전스 프레임워크를 사용하여 의심스러운 이벤트를 탐지합니다. 레코딩된 미래는 프레임워크를 활용하여 의심스러운 이벤트 탐지를 수행합니다.
그러나 일단 이벤트가 감지되면 효율적인 분류를 위해 이벤트를 보강할 필요가 있습니다. 이 작업은 두 가지 방법으로 수행할 수 있습니다:
- 저장된 검색을 사용하여 레코디드 퓨처의 위험 목록에서 이벤트에 데이터를 추가합니다.
- 제공된 적응형 응답 동작을 사용합니다. 이 메서드는 레코디드 퓨처의 API를 쿼리하여 최신 정보를 가져옵니다.
각 방법을 활성화하는 방법에 대한 지침은 아래를 참조하세요.
강화 수행을 위한 저장된 검색어
기본적으로 앱은 호환되는 모든 주목할 만한 이벤트의 보강을 수행하는 4개의 저장된 검색을 활성화합니다. 적응형 반응 기반 강화로 전환하는 데 필요한 단계는 아래를 참조하세요.
증강을 수행하는 적응형 응답(AR)
AR(적응형 응답)을 활성화하려면 다음 단계를 수행해야 합니다:
-
주목할 만한 이벤트를 강화하는 검색 기능을 끄세요:
- 구성 → 콘텐츠 관리로 이동합니다.
- "RF IP 위협 목록 검색", "RF 도메인 위협 목록 검색" 및 "RF 해시 위협 목록 검색" (앱 필터를 사용하면 더 쉽게 찾을 수 있지만 필수는 아님)을 비활성화합니다.
-
"위협 활동 감지됨" 을 클릭하여 설정을 엽니다.
- "적응형 응답 조치" 옆에 있는 "새 응답 조치 추가를 클릭합니다."
- 기록된 미래의 작업을 선택합니다.
- 기본값 그대로 두기 "자동" 선택.
- 저장을 클릭합니다.
적응형 응답 애드혹 호출
인시던트 검토 대시보드에서 적응형 대응을 임시로 호출할 수 있습니다. 이러한 방식으로 적응형 응답을 호출하는 사용자에게는 list_storage_passwords 기능이 있어야 합니다.