보안 인시던트 응답 필드에 위반 필드 매핑 IBM QRadar
개별 공격, 이벤트 및 플로우 필드를 보안 인시던트의 필드에 매핑합니다 ServiceNow AI Platform SIR .
위반 필드 매핑
sn_si.admin 역할을 가진 사용자는 왼쪽의 샘플 위반 섹션에 있는 필드를 사용하여 SIR 인시던트 필드 매핑 열의 보안 인시던트 필드에 매핑합니다. 왼쪽에서 위반, 이벤트 또는 플로우 필드를 끌어서 오른쪽의 인시던트 매핑 섹션에 ServiceNow SIR 놓아 매핑 구성을 편집합니다. 오른쪽의 매핑은 수신되는 위반 필드를 나가는 보안 인시던트 필드와 연결합니다.
- 샘플 데이터를 가져온 후 다음 단계는 위반, 이벤트 또는 플로우 필드를 보안 인시던트에 매핑하는 것입니다. 양식 왼쪽의 필드 값을 양식 오른쪽에 있는 보안 인시던트의 필드에 매핑하려면 양식 왼쪽에 있는 파란색 필드 이름을 길게 클릭합니다.
- 필드 이름( 예: 설명)을 끌어서 보안 인시던트 열의 필드 이름 옆에 있는 입력 식 열의 필드에 놓습니다. 필드 값이 입력 식 열에 표시됩니다. 다음 이미지에서 설명 은 보안 인시던트의 설명 필드에 매핑되어 있습니다.주:입력 식 섹션에 이벤트 또는 플로우 필드 이름을 수동으로 입력하는 경우 매핑되는 필드의 이름 앞에 프리픽스를 ${Eventfield}$ 또는 ${Flow:flowfield}$ 로 추가해야 합니다.
매핑 프로세스에서 위반, 이벤트 또는 플로우 필드가 간과되거나 중복되지 않도록 하기 위해 필드는 색으로 구분되어 있습니다. 위반 필드의 색상 코딩은 매핑되지 않은 나머지 모든 필드가 파란색으로 표시되는 동안 회색으로 표시되므로 이미 매핑한 위반 값을 추적하는 데 도움이 됩니다. 이렇게 하면 보안 인시던트에 추가된 필드 값과 나머지 중요한 위반 정보가 매핑되지 않은 상태로 남아 있는지 더 잘 시각화할 수 있습니다.
왼쪽의 연한 파란색 필드는 위반 필드가 아직 선택되지 않았으며 보안 인시던트에 매핑되지 않았음을 나타냅니다. 들어오는 위반, 이벤트 또는 플로우 필드를 보안 인시던트에 대해 둘 이상의 필드와 연결하는 것이 선호될 수 있습니다. 회색 필드는 필드가 선택되었고 보안 인시던트의 필드에 매핑되었음을 나타냅니다. 이 색상 코딩은 매핑을 추적하는 데 도움이 됩니다.
- 양식 오른쪽의 보안 인시던트에 표시되는 기본 필드에 필드를 추가하려면 다음 단계를 따르십시오.
- SIR 인시던트 필드 매핑 섹션의 양식 오른쪽에 있는 그리드 하단에서 더하기(+) 아이콘을 클릭합니다. 새 필드가 표시됩니다.
- 보안 인시던트 열에서 표시되는 선택 목록을 확장하고 필드를 선택합니다. 주:동일한 보안 인시던트에 여러 옵저버블을 표시할 수 있으므로 옵저버블 필드를 서로 다른 값으로 여러 번 매핑할 수 있습니다. 마찬가지로 구성 항목 및 작업 메모 필드는 여러 값을 지원합니다. 여러 값을 지원할 수 없는 필드에 두 값을 매핑하려고 하면 인시던트를 미리 볼 때 필드에 값이 없다는 오류 메시지가 표시됩니다. 마찬가지로 보안 인시던트의 필드에 여러 옵션을 선택할 수 있는 선택 목록이 있는데 선택 목록에 표시되지 않는 해당 필드에 옵션을 매핑하려고 하면 해당 필드가 보안 인시던트에 채워지지 않습니다.
- 또는 새 행의 검색 필드에 값을 입력합니다.
- 양식 왼쪽에서 위반 필드를 선택하고 오른쪽의 적절한 보안 인시던트 필드로 끌어서 놓습니다.
- SIR 인시던트 필드 매핑 섹션의 필드 이름 옆에 있는 - 아이콘을 사용하여 필드를 제거합니다.
- 매핑에 필드 값을 추가하거나 제거하여 매핑을 계속합니다.
여러 값이 있는 위반 필드
- 기본 제품에서 사용할 수 있는 범주 및 사용자 필드(예: 영향을 받는 사용자, 할당 대상)와 같은 보안 인시던트 필드는 여러 값을 지원하지 않습니다.
- 다음 IBM QRadar 필드는 여러 값을 지원합니다.
- categories
- destination_networks
- source_address_ids
- local_destination_address_ids
- remote_destination_ips
- rules_contributing_to_offense
- 사용자
위의 필드를 CI 및 옵저버블 유형 필드를 제외한 모든 보안 인시던트 응답 필드에 매핑해야 하는 경우, 목록 유형의 새 보안 인시던트 응답 필드를 작성하여 매핑에 사용해야 합니다.
주:기본적으로 비참조 목록 유형 필드만 지원됩니다.
필드 형식 변환
경우에 따라 의 위반 필드 값이 IBM QRadar SIR 보안 인시던트의 필드로 직접 변환되지 않을 수 있습니다. 이러한 값의 경우 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값에 대한 형식을 지정할 수 있습니다. 비슷하지만 동일하지는 않은 값의 형식을 지정하려면 스크립트 편집기를 사용하십시오. 예를 들어 스크립트 편집기에서 맬웨어 경보 및 바이러스 감염의 범주 값은 소스 범주에 대해 서로 다른 필드 값을 가질 수 있지만 필드 형식 변환 기능을 사용하여 SIR 보안 인시던트의 범주 필드에서 두 값 모두 공통 악성 코드 활동으로 변환할 수 있습니다.
을 선택합니다. 스크립트 편집기가 표시됩니다.스크립트에 대한 변경 내용을 입력하고 업데이트를 선택하여 변경 내용을 저장하고 매핑 페이지로 돌아갑니다.
인시던트 작성 조건
- 폼에서 인시던트 생성 조건 섹션으로 스크롤한 다음 조건에 따라 필터링 확인란을 선택하여 옵션을 활성화합니다.
필터 조건 작성기가 표시됩니다. 이러한 필터를 사용하여 필드에 설명된 특정 조건과 일치하는 보안 인시던트를 생성합니다.
필터 조건 빌더의 첫 번째 필드에 대한 선택 목록의 옵션은 수집한 위반에 대해 샘플 QRadar Offense Ingestion 섹션에 표시되는 필드와 일치합니다. 이러한 필드는 동적이며 수집하는 위반에 따라 변경됩니다. 입력하는 기준은 대소문자를 구분하며 위반 값 IBM QRadar 과 정확히 일치해야 합니다. 필터 필드에 입력할 값을 잘 모르는 경우 콘솔로 IBM QRadar 돌아가 키워드에 대한 위반 사항을 검토하는 것이 좋습니다.
주:범주, destination_networks, source_address_ids, local_destination_address_ids, remote_destination_ips, rules_contributing_to_offense 및 사용자 위반 필드에는 값이 배열에 저장되기 때문에 여러 개의 값이 있을 수 있습니다. 필터 조건은 문자열만 검색할 수 있으므로 이러한 필드에 포함 필터 조건을 사용하여 데이터가 올바르게 필터링되도록 해야 합니다. - 조건 작성기의 선택 목록과 필드를 사용하여 첫 번째 행에 대한 필터를 설정합니다.
- 조건을 더 추가하려면 필드 오른쪽에서 AND 또는 OR를 클릭합니다.
- AND를 선택하면 모든 조건이 일치해야 합니다.
- OR을 선택하면 조건을 일치시킬 수 있습니다.
- (선택 사항) 두 번째 행에서 두 번째 필터 조건을 설정합니다.
다음 이미지는 보안 인시던트가 생성되기 전에 일치해야 하는 두 가지 조건이 있는 예입니다.
입력한 필터링 조건이 모두 일치하는 경우에만 보안 인시던트가 생성되도록 인시던트 작성 조건을 설정했습니다.
이러한 유형의 인시던트 생성 조건 필터링은 위반 범위를 좁히고 에서 기본 규칙이나 필터 IBM QRadar를 수정하지 않고도 생성하는 불필요한 보안 인시던트의 수를 제한하는 데 도움이 됩니다. 추가 필터링 기준이 설정되면 모든 기준과 일치하는 위반만 인시던트에 매핑됩니다.
주:위반 필드 이름에 따옴표("), 하이픈('), 밑줄(-) 또는 앰퍼샌드(@)와 같은 특수 문자가 있는 경우, 필터링을 위해 이러한 문자를 교체해야 할 수 있지만 중복된 위반 이름이 있는 필드를 구별하기 위해 숫자 접미사가 추가됩니다. 예를 들어, 첫 번째 위반 필드가alerts.alert이고두 번째 위반 필드가alerts@alerts인 경우 나머지 표준 텍스트 문자가 동일하므로 이러한 필드를 고유하게 식별할 수 없습니다. 이 경우 접미사가 두 번째 위반 필드에 추가되고 필터 조건 목록에 표시될 때 필드 이름이alerts@alert(1)로 바뀝니다.
유사한 위반을 처리하고 중복 인시던트를 방지하기 위한 위반 집계 기준
- 양식에서 위반 집계 기준 섹션으로 스크롤하고 집계 조건 확인란을 선택하여 이 옵션을 활성화합니다.
인시던트 필드 일치 값 열이 표시됩니다. 이러한 필드 이름은 보안 인시던트에 구성된 사용자 지정 필드를 포함하는 보안 인시던트의 필드입니다.SIR
- 사용 가능 목록에서 기존 보안 인시던 ServiceNow AI Platform 트와 일치시킬 필드 값을 선택하고 선택됨 목록으로 이동합니다.
이 수신 경보를 기존 보안 인시던트에 추가하려면 선택하는 모든 필드 값이 일치해야 합니다. 여기에는 옵저버블 및 구성 항목과 같이 여러 개의 위반 필드 값이 매핑될 수 있는 필드가 포함됩니다. 모든 값이 일치해야 합니다. 값의 하위 집합만 일치하면 위반 집계 조건이 충족되지 않고 새 보안 인시던트가 생성됩니다. 다중 값 필드 매핑은 아래 스크린샷을 참조하십시오.
새 오펜스가 맵핑 단계의 집계 필드 조건에서 선택된 모든 값과 일치하는 경우, 새 오펜스가 동일한 필드 값을 사용하여 가장 최근에 연 보안 인시던트에 자동으로 추가됩니다. 보안 인시던트를 다루는 sn_si.analyst 역할을 가진 사용자는 보안 인시던트의 관련 목록에서 추가된 모든 집계 위반을 볼 수 있습니다. 이 목록은 관련된 타임스탬프와 집계된 필드 값을 자세히 설명합니다. 이 정보는 이러한 위반이 기존 보안 인시던트로 집계되는 이유를 이해하는 데 도움이 됩니다. 이 탭이 표시되지 않으면 관련 링크 아래에서 기록의 왼쪽으로 스크롤하여 모든 관련 목록 표시 링크를 클릭합니다.
- (선택 사항) 보안 인시던트에 최근에 추가된 새 위반에 대한 작업 메모를 기록하려면 확인란을 선택하여 이 옵션을 활성화합니다. 작업 메모는 매핑 섹션의 작업 메모 필드에 추가되었을 수 있는 위반 상세 정보 및 기타 상세 정보에 대한 링크와 함께 새 위반이 추가되었음을 로그합니다.
위반 값을 IBM QRadar 보안 인시던트의 필드로 매핑했습니다. 또한 인시던트 생성 필터링 기준을 사용하여 보안 인시던트 생성을 제한하는 추가 조건을 구성했습니다. 또한 위반 필드 값이 구성된 집계 기준과 일치하는 경우 기존 보안 인시던트에 위반을 추가했습니다.
- 계속을 선택하여 프로파일 구성을 계속합니다. 다음 단계는 보안 인시던트에 SIR 매핑한 필드를 미리 보는 것입니다.