매핑 탐색

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 3분

    • 프로파일의 특정 상관관계 규칙과 주목할 만한 이벤트 유형을 식별한 후 다음 단계는 주목할 만한 개별 이벤트 필드를 (SIR) 보안 인시던트의 ServiceNow AI Platform 보안 인시던트 응답 필드에 매핑하는 것입니다.

    매핑 개요

    매핑 단계에서는 선택한 상관관계 규칙에 대해 샘플 주목할 만한 이벤트를 수집하거나 수동으로 전달된 주목할 만한 이벤트에 대해 주목할 만한 이벤트 데이터를 익스포트할 수 있습니다. 이벤트 매핑 프로세스는 생성 중인 프로파일 유형에 관계없이 동일합니다.

    다음 그림은 각 유형의 이벤트 프로파일에 대해 제공되는 기본 매핑 구성의 예입니다. 보안 인시던트를 채우는 필드를 사용자 지정할 수 있습니다. 이 매핑 단계에서는 모든 관련 중요 이벤트 필드 데이터가 SIR 인시던트 양식의 적절한 위치에 매핑되었는지 확인한 다음 미리 보기 섹션에서 SIR 인시던트를 시각화할 수 있습니다.

    다중 상관 관계가 사용되는 경우 필수 이벤트를 선택하여 주목할 만한 이벤트를 가져올 수 있습니다. 수집을 위해 경보를 여러 개 구성한 경우 경보 이름을 사용하여 경보를 선택합니다.

    데이터를 Splunk 가져오려면 을 클릭하면 주목할 만한 이벤트 필드 이름과 해당 값이 양식 왼쪽에 채워집니다. Splunk 보안 인시던트 필드에 매핑할 수 있는 주목할 만한 이벤트 필드입니다SIR. 일부 필드는 SIR 보안 인시던트 필드에 여러 번 매핑될 수 있습니다.


    예약된 주목할 만한 이벤트에 대한 기본 매핑

    콘솔에서 Splunk 필드 매핑 구성 단계에 대해 수집할 몇 가지 주목할 만한 샘플 이벤트를 검토하는 것이 좋습니다. 이 단계는 진행률 표시줄에 매핑으로 표시됩니다. 이 페이지가 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다. 에서 주목할 만한 이벤트 Splunk Enterprise Security 샘플을 최대 5개까지 수집하여 주목할 만한 이벤트 필드 매핑 프로세스를 지원할 수 있습니다. 선택한 상관관계 규칙에 대해 가장 최근의 주목할 만한 이벤트 5개를 수집하거나 주목할 만한 이벤트 ID를 기반으로 주목할 만한 특정 이벤트를 최대 5개까지 수집하는 옵션이 있습니다.

    다음은 주목할 만한 이벤트를 매핑하는 데 필요한 단계에 대한 요약입니다.
    • 예약된 주목할 만한 이벤트 샘플 데이터 수집: 자동으로 수집된 주목할 만한 이벤트 프로파일에 사용되는 샘플 데이터의 경우, 샘플 데이터를 검색하면 사용 가능한 주목할 만한 이벤트 필드와 해당 값이 매핑 양식 왼쪽의 기본 매핑 레이아웃에 표시됩니다. 끌어온 주목할 만한 특정 이벤트 ID의 값을 볼 수 있는 탭이 표시됩니다. 양식 왼쪽에 있는 주목할 만한 이벤트 샘플 수집 섹션의 모든 중요 필드가 양식 오른쪽에 있는 보안 인시던트 필드에 ServiceNow 매핑되는지 확인합니다.
    • 필드 매핑: 왼쪽에서 주목할 만한 이벤트 필드를 끌어 오른쪽의 SIR 인시던트 매핑 섹션에 ServiceNow 놓아 매핑 구성을 편집합니다. 오른쪽의 매핑은 수신되는 주목할 만한 이벤트 필드를 나가는 보안 인시던트 필드와 연결합니다.
    • 매핑 경험: SIR 인시던트 필드 매핑 섹션 하단에 있는 + 아이콘을 사용하여 필드를 추가하거나 제거하여 매핑 그리드를 사용자 지정합니다. 제공된 색상 코딩으로 간과되거나 중복된 필드를 추적합니다(매핑된 필드는 회색으로 표시되고 파란색 필드는 매핑되지 않음).
    • 인시던트 생성 조건: 매핑 섹션이 완료되면 필터 조건을 설정하여 보안 인시던트를 생성해야 하는 주목할 만한 이벤트와 필터링해야 하는 주목할 만한 이벤트(예: 우선순위가 낮은 주목할 만한 이벤트)를 지정할 수 있습니다. 이는 주목할 만한 이벤트 매핑 섹션 아래에 있는 인시던트 생성 조건 섹션에서 수행됩니다.
    • 이벤트 집계 기준: 유사하지만 중복 가능성이 있는 인시던트를 생성하는 대신 수신되는 주목할 만한 이벤트를 기존 SIR 보안 인시던트로 집계하는 추가 이벤트 집계 기준을 정의합니다. 각 프로파일에 대해 필드 일치 값 기준을 사용하는 이 추가 집계 기능은 모든 관련 보안 주목할 만한 이벤트 데이터를 단일 보안 인시던트에 배치하여 활성되고 중복되는 보안 인시던트의 수를 줄일 수 있습니다.
    • 형식 필드 변환: 경우에 따라 엔터프라이즈 주목할 만한 이벤트의 Splunk 이벤트 필드 값이 보안 인시던트의 SIR 필드로 직접 변환되지 않을 수 있습니다. 이러한 값의 경우 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값에 대한 형식을 지정할 수 있습니다. 비슷하지만 동일하지는 않은 값의 형식을 지정하려면 스크립트 편집기를 사용하십시오. 예를 들어 스크립트 편집기에서 맬웨어 경보 및 바이러스 감염의 범주 값은 소스 범주에 대해 서로 다른 필드 값을 가질 수 있지만 필드 형식 변환 기능을 사용하여 보안 인시던트의 SIR 범주 필드에서 두 값 모두 공통 악성 코드 활동으로 변환할 수 있습니다.

    다음 단계는 주목할 만한 이벤트를 수집하고 값을 보안 인시던트 필드에 SIR 매핑하는 것입니다.