보안 인시던트는 통합과의 Splunk Enterprise Security 양방향 인터페이스를 사용하여 생성된 후 생성 및 업데이트할 수 있습니다.
시작하기 전에
통합에는 Splunk Enterprise Security 주목할 만한 이벤트가 보안 인시던트를 생성하고 보안 인시던트가 생성 및/또는 종결된 후 주목할 만한 이벤트를 업데이트할 수 있는 양방향 인터페이스가 있습니다.
관련 인시던트 상세 정보에는 인시던트 번호, 할당 그룹, 인시던트 URL이 SIR 포함됩니다SIR. 이 섹션은 중요한 이벤트를 업데이트할 Splunk Enterprise Security 수 있는 선택적 기능을 제공하는 프로필 구성 설정의 마지막 부분입니다.
필요한 역할: sn_si.ingestion_profile_admin
주: sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.
프로시저
-
진행률 표시줄에 추가 옵션 페이지가 표시되지 않으면 추가 옵션을 선택합니다.
-
아래 지침에 따라 보안 인시던트 업데이트를 기반으로 주목할 만한 이벤트를 업데이트하기 위한 구성을 완료합니다.
| 옵션 또는 필드 | 설명 |
|---|
| SIR 인시던트 작성 시 주목할 만한 이벤트 업데이트 |
주목할 만한 이벤트에서 보안 인시던트가 생성될 때 주목할 만한 이벤트 상태를 업데이트하고 추가 코멘트를 추가하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 생성하는 초기 트리거된 주목할 만한 이벤트와 집계된 이벤트 모두에 대해 발생할 수 있습니다. |
| 초기 주목할 만한 이벤트 상태 업데이트 |
서버에서 검색한 Splunk Enterprise Security 사용 가능한 모든 상태 값을 표시하는 메뉴에서 상태 옵션을 선택해야 합니다. 여기에는 아래 스크린샷과 같이 할당됨과 같은 ServiceNow 사용자 지정 생성 상태가 포함될 수 있습니다. 수집된 주목할 만한 이벤트에 대한 보안 인시던트가 생성될 때 모든 주목할 만한 이벤트에 대해 설정할 상태 값을 선택합니다. 여기에는 새 인시던트를 생성하는 주목할 만한 인시던트와 수집되어 기존 미결 인시던트로 집계되는 주목할 만한 인시던트가 포함됩니다. |
| 주목할 만한 이벤트에 다시 게시된 초기 설명 |
주목할 만한 상태 값을 업데이트하는 것 외에도 주목할 만한 이벤트 인시던트 검토 이력에 코멘트를 게시할 수도 있습니다. 지침에 나와 있는 대로, 인시던트 양식의 필드에 보안 인시던트 응답 $$ 형식을 사용하여 대체 변수를 추가하거나 수정하는 등 의견 섹션에 표시된 기본 텍스트를 편집할 수 있습니다. |
| SIR 인시던트 종결 시 주목할 만한 이벤트 종료 |
주목할 만한 이벤트에서 보안 인시던트가 종결될 때 주목할 만한 이벤트 상태를 업데이트하고 추가 설명을 추가하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 생성하는 초기 트리거되는 주목할 만한 이벤트와 집계된 이벤트 모두에 대해 발생합니다. |
| 종결 주목할 만한 이벤트 상태 업데이트 |
서버에서 검색 Splunk Enterprise Security 된 사용 가능한 모든 상태 값을 표시하는 목록 메뉴에서 상태 옵션을 선택해야 합니다. 여기에는 아래 스크린샷과 같이 할당됨과 같은 ServiceNow 사용자 지정 생성 상태가 포함될 수 있습니다. 수집된 주목할 만한 이벤트에 대한 보안 인시던트가 생성될 때 모든 주목할 만한 이벤트에 대해 설정할 상태 값을 선택합니다. 여기에는 새 인시던트를 생성하는 주목할 만한 인시던트뿐만 아니라 수집되어 기존 미결 인시던트로 집계된 주목할 만한 인시던트도 포함됩니다. |
| 주목할 만한 이벤트에 다시 게시된 종결 설명 |
주목할 만한 상태 값을 업데이트하는 것 외에도 주목할 만한 이벤트 인시던트 검토 기록에 종결 댓글을 게시할 수도 있습니다. 지침에 나와 있는 대로, 인시던트 양식의 필드에 보안 인시던트 응답 $$ 형식을 사용하여 대체 변수를 추가하거나 수정하는 등 의견 섹션에 표시된 기본 텍스트를 편집할 수 있습니다. |
| Splunk 이벤트 설명으로 SIR 자동화 활동 업데이트 |
자동화 활동에서 SIR Splunk 이벤트 설명을 업데이트하는 옵션입니다. 자동화 활동의 설명이 SIRSplunk의 설명 프리픽스와 함께 나타납니다.주:
버전 8.0.x부터 Splunk Enterprise Security 의견 필드는 더 이상 사용되지 않으므로 애플리케이션은 더 이상 에서 의견 Splunk Enterprise Security을 검색할 수 없습니다.
|
| SIR 작업 메모로 Splunk 설명 업데이트 |
Splunk 이벤트 코멘트에서 작업 메모를 업데이트하는 SIR 옵션입니다. Splunk 이벤트의 코멘트는 프리픽스 "ServiceNow의 코멘트"와 함께 나타납니다. |
-
Finish(마침)를 클릭하여 구성을 완료합니다.
확인 대화 상자가 표시됩니다. 통합을 위한 설정 및 구성을 완료했습니다. 이 프로파일을 활성화하여 일정에 따라 콘솔에서
Splunk Enterprise Security 주목할 만한 이벤트를 끌어옵니다. 24시간 동안 만들 수 있는 보안 인시던트는 1,000개로 제한됩니다. 발생한 경보당 최대 100개의 주목할 만한 이벤트가 있습니다. 제한에 도달한 후에는 이후의 주목할 만한 이벤트가 무시됩니다.
다음 이미지는 기본값이 채워진 추가 옵션 탭을 보여줍니다.
추가 옵션 구성을 활성화하면 주목할 만한 이벤트 인시던트 검토에서 상태 변경 및 이력 설명 업데이트가 표시됩니다.
