중요
이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
이 플러그 인을 사용하면 Security Copilot 사용자가 Splunk REST API를 호출할 수 있습니다. 현재 지원되는 기능은 다음과 같습니다.
- 일반 및 원샷 임시 SPL 쿼리를 수행합니다.
- Splunk에서 저장된 검색 만들기, 검색 및 디스패치
- Splunk의 저장된 검색에서 경고에 대한 정보를 검색하고 확인합니다.
필수 구성 요소
- Splunk 설치에 대한 액세스
- Security Copilot 송신 IP가 Splunk instance 연락할 수 있도록 허용해야 합니다. 자세한 내용은 Security Copilot IP 주소 범위를 참조하세요. 사용 중인 Splunk instance 형식에 따라 아래 IP를 허용하려면 단계를 수행합니다. 예를 들어 Splunk Cloud의 경우 Splunk Cloud Platform 관리 Manual의 지침을 사용합니다.
- Splunk의 다음 인증 방법 중 하나입니다.
- Splunk 인증 토큰(기본 설정)
- 기본 인증을 위한 Splunk 사용자 이름 및 암호
Splunk 인증 토큰 설정에 대한 설명서는 여기에서 찾을 수 있습니다. 또한 Splunk Cloud를 실행하는 경우 고려해야 할 다른 고려 사항이 있습니다. 이러한 고려 사항은 여기에 설명되어 있습니다.
참고
이 문서에는 Microsoft가 아닌 플러그 인에 대한 정보가 포함되어 있습니다. 이 문서는 통합 시나리오를 완료하는 데 도움이 되도록 제공됩니다. 그러나 Microsoft는 타사 플러그 인에 대한 문제 해결 지원을 제공하지 않습니다. 지원은 공급업체에 문의하세요.
시작하기 전에 다음 사항에 유의합니다.
Security Copilot 통합은 API 키 또는 기본 인증에서 작동합니다. 플러그 인을 사용하기 전에 다음 단계를 수행해야 합니다.
API 키 인증
API 키 인증은 기본 인증 방법입니다. API 키를 통해 인증을 설정하려면 다음 정보가 있어야 합니다.
- REST API에 액세스하기 위한 URL
- API에 액세스하는 데 사용할 Splunk 사용자 계정에 대한 Splunk 인증 토큰입니다. Splunk 인증 토큰 설정에 대한 설명서는 여기에서 찾을 수 있습니다. 또한 Splunk Cloud를 실행하는 경우 고려해야 할 다른 고려 사항이 있습니다. 이러한 고려 사항은 여기에 설명되어 있습니다.
인증을 설정하라는 메시지가 표시되면 API 키 옵션을 선택합니다.
"Splunk API 인스턴스 URL"에 대한 필드에 Splunk API URL을 추가합니다. 값 필드에 Splunk 인증 토큰을 추가합니다.
저장을 선택하여 설정을 완료합니다.
기본 인증
기본 인증을 통해 인증을 설정하려면 다음 정보가 있어야 합니다.
- REST API에 액세스하기 위한 URL
- API에 액세스하는 데 사용할 Splunk 사용자 계정의 사용자 이름 및 암호입니다.
인증을 설정하라는 메시지가 표시되면 API 키 옵션을 선택합니다.
"Splunk API 인스턴스 URL"에 대한 필드에 Splunk API URL을 추가합니다. 사용자 이름 필드에 Splunk 사용자 이름을 추가합니다. 암호 필드에 Splunk 암호를 추가합니다.
저장을 선택하여 설정을 완료합니다.
샘플 Splunk 프롬프트
| 기술 | 프롬프트 |
|---|---|
| 검색 작업 만들기 | Run the following search in Splunk in normal mode: index=notable "System Network Configuration Discovery" |
| 검색 작업 결과 가져오기 | Get the search job results for SID 1740764708.5591 from Splunk |
| 원샷 검색 실행 | Run the following search in Splunk in oneshot mode: index=notable "System Network Configuration Discovery" |
| 저장된 검색 만들기 | Save the following search in Splunk: index=notable "System Network Configuration Discovery". Name the search "Network Config Discovery report". |
| 저장된 검색 검색 | Get all of the saved searches for the copilot user from Splunk |
| 저장된 검색 디스패치 | Dispatch the saved search "Top Mitre Techniques" in Splunk |
| 발생한 경고 검색 | Get the list of fired alerts from Splunk |
| 발생한 경고 세부 정보 검색 | Tell me about the fired alert Apache_HTTP_StatusCode_Alert_Test |
Microsoft Security Copilot 종종 반환되는 답변에서 컨텍스트를 이해하고 가져옵니다. 따라서 프롬프트 체인에서 자연스러운 대화를 사용할 수 있습니다. 예를 들어 와 같은 Dispatch the saved search "Top Mitre Techniques" in Splunk프롬프트를 사용하는 경우 검색 작업 ID가 반환됩니다. Security Copilot 현재 컨텍스트에서 해당 검색 작업 ID를 가지며 검색 작업 ID를 수동으로 지정하지 않고 후속 Get the search job results 작업을 수행할 수 있습니다.
사용 가능한 기술
Microsoft Security Copilot 대한 Splunk 플러그 인은 다음과 같은 기술을 노출합니다.
- 임시 검색
- 검색 작업 만들기
- 검색 작업에서 결과 검색
- 원샷 검색 실행
- 저장된 검색
- 저장된 검색 검색
- 저장된 검색 만들기
- 저장된 검색 디스패치
- 저장된 검색에서 발생한 경고
- 발생한 경고 검색
- 발생한 경고 세부 정보 검색
Microsoft Security Copilot 대한 Splunk 플러그 인을 사용하면 자연스러운 대화의 컨텍스트에서 Splunk와의 상호 작용을 호출할 수 있습니다. 다음은 예입니다.
- 사용자는 퍼블릭 웹을 사용하여 최근에 발표된 취약성/CVE에 대한 데이터를 연구할 수 있습니다.
- 그런 다음 사용자는 "이 CVE 번호를 모든 인덱스에 Splunk에서 검색으로 저장"과 같은 후속 프롬프트를 사용할 수 있습니다. Security Copilot 최신 프롬프트에서 이전 프롬프트의 컨텍스트를 유지 관리합니다.
- 그런 다음 사용자는 Splunk 내에서 저장된 검색을 수정하여 고급 SPL 기술을 통합하거나 시각화를 만들 수 있습니다.
Splunk 플러그 인 문제 해결
오류가 발생합니다.
요청을 완료할 수 없거나 알 수 없는 오류가 발생한 경우와 같은 오류가 발생했습니다. 플러그 인이 켜져 있는지 확인합니다. 이 오류는 조회 기간이 너무 길면 쿼리가 과도한 양의 데이터를 검색하려고 시도하는 경우에 발생할 수 있습니다. 문제가 지속되면 Security Copilot 로그아웃한 다음 다시 로그인합니다. 또한 인증 메커니즘에 Splunk 내에서 적절한 권한이 있는지 확인합니다(전달자 인증으로 인증하는 Splunk 사용자에게 API 호출을 호출할 수 있는 권한이 있는지 확인). 마지막으로 Splunk 엔터프라이즈에 연결하는 경우 REST API 엔드포인트에 사용하는 SSL이 자체 서명된 인증서를 사용하지 않는지 확인합니다.
프롬프트 올바른 기능을 호출하지 않습니다.
프롬프트가 올바른 기능을 호출하지 않거나 프롬프트가 다른 기능 집합을 호출하는 경우 사용하려는 기능 집합과 유사한 기능을 가진 사용자 지정 플러그 인 또는 기타 플러그 인이 있을 수 있습니다.
피드백 제공
피드백을 제공하려면 Splunk 파트너 엔지니어링 팀에 문의하세요.