보안 인시던트 응답, 취약성 대응및 위협 인텔리전스 플러그인은 외부 및 내부 정보를 임포트하는 데 사용되는 관계 데이터 및 중복 규칙에 대한 공통 기능을 공유합니다보안 운영.

이메일 구문 분석, 중복 규칙, 입력 필드 매핑 데이터(이메일, JSON, XML 파일 또는 기록)를 가져와서 올바른 형식으로 변환하여 새 기록을 만듭니다. 이러한 각 기능은 고유한 방식으로 데이터를 가져오지만 동일한 프로세스 중 여러 개를 사용하여 새 기록으로 변환됩니다.

관계 데이터

관련 목록에 정보를 추가하는 경우(예: 보안 인시던트의 관련 옵저버블) m2m 테이블로 구성된 관계 기록을 만들 수 있습니다. 설정해야 할 관계 기록에 대한 추가 데이터가 있는 경우도 있습니다. 예를 들어 옵저버블은 대상 IP가 아닌 소스 IP입니다. 이 정보는 이메일 구문 분석에서 사용하는 필드 변환 양식의 관계 데이터 필드 또는 필드 매핑 양식의 필드 매핑 필드 관련 목록에 있습니다.

관계 데이터 필드는 일반적으로 비어 있습니다. 이메일 구문 분석의 옵저버블에 대한 IP 주소에 가장 일반적으로 사용됩니다.

필드 매핑 기능의 필드 매핑 필드를 사용하여 모든 ServiceNow 기록에서 다른 ServiceNow 기록으로 데이터를 변환할 수 있습니다. 예를 들어 인시던트에서 보안 인시던트로, 또는 보안 인시던트를 PRB로 변환하는 방법을 예로 들 수 있습니다.

보안 운영 중복 규칙

보안, 취약성, IoC 등에 대한 중복 기록을 처리하는 데 사용합니다 중복 규칙 .

중복 규칙에는 두 가지 목적이 있습니다. 이는 너무 많은 중복 기록이 생성되는 것을 방지하며, 중복 탐지 시 업데이트되는 기록 필드를 지정합니다. 활성 중복만 검색됩니다. 기록이 활성 상태가 아니면(예: 인시던트가 종결된 경우) 동일한 새 문제는 새 인시던트가 됩니다.

중복 규칙은 이메일 구문 분석, 필드 매핑 및 보강 데이터 매핑에 사용됩니다.